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内 容 所 楼 





本 书 的 主题 是 通过 OpenStack 来 部 署 企 业 私 有 云 。 本 书 不 只 是 像 技 术 手 册 一 样 介绍 如 何 部 署 
OpenStack， 还 会 解释 各 个 步骤 涉及 的 原理 以 及 这 项 技术 对 业界 的 影响 。 

本 书 分 为 3 个 部 分 ， 第 一 部 分 (第 1 音 ~~ 第 4 草 ) 是 入 门 指南 ， 先 介绍 OpenStack 云 操作 系 
统 ， 然 后 让 谈 考 直接 通过 一 个 快速 部 署 工 具 和 最 小 化 的 基础 设施 来 快速 体验 OpenStack， 再 介绍 
OpenStack 命令 行 工 具 (CLI )， 并 通过 使 用 OpenStack 来 理解 组 件 的 功能 和 整个 OpenStack 框架 
里 各 个 组 件 之 间 的 交互 ; 第 二 部 分 (第 5 草 一 第 8 章 ) 关注 整个 生态 系统 ， 阁 入 介绍 OpenStack 
的 一 个 核心 项 目 ， 并 种 领 读者 进行 多 市 点 环境 下 的 OpenStack 手动 部 署 ; 第 三 部 分 (第 9 章 一 第 
12 草 ) 阐述 在 生产 环境 中 如 何 使 用 OpenStack, 重点 介绍 与 生产 环境 中 OpenStack 部 署 相关 的 架 
构 、 组 织 和 策略 决策 ，Ceph 存储 的 基本 部 署 和 操作 , 使 用 Fuel 来 进行 OpenStack 目 动 化 HA ( 高 
可 用 ) 部 晋 ， 以 及 通过 OpenStack Heat 和 Ubuntu Juju 进行 云 编 排 。 此 外 ， 还 有 一 个 附录 介绍 从 
裸 设备 安装 Linux 操作 系统 的 详细 步 桑 。 

本 书 适 合 对 使 用 OpenStack 来 构建 私有 云 环 境 有 兴趣 的 基础 设施 专家 、 工 程 师 、 架 构 师 和 技 
术 文 持 人 员 阅 读 。 因 为 阅读 本 书 不 需要 有 很 好 的 技术 基础 ， 只 要 了 解 Linux 的 基本 操作 ， 所 以 不 
同 背 景 和 技术 能 力 的 人 群 都 可 以 阅读 本 书 。 



































对 本 书 的 赞 浓 


开源 项 目 OpenStack 从 2010 年 7 月 诞生 以 来 得 到 了 迅猛 发 展 ， 一 路 竞争 ， 击 败 了 其 他 各 路 
云 计算 的 开源 项 目 , 得 到 了 全 球 400 多 家 企业 和 近 5 万 名 个 人 会 员 的 支持 ,成 为 云 计算 提供 “ 基 
础 架构 即 服 务 ” 的 事实 标准 。CERN、 沃 尔 玛 、Comcast、NTT Group、Paypal、 中 国 移动 和 国家 
电网 等 一 批 知 名 企业 和 机 构 都 相继 选择 使 用 OpenStack 作为 自己 的 业务 支撑 平台 ， 国 内 各 企业 、 
高 校 和 开源 社区 也 掀起 了 学 习 OpenStack 的 热 泣 ， 各 类 Meetup 分 享 会 、 开 源 论 坛 和 相关 报道 层 
出 不 穷 ， 数 不 胜 数 。 但 OpenStack 进入 中 国 这 几 年 ，OpenStack 的 运 维 和 开发 方面 的 书籍 并 不 多 ， 
系统 地 介绍 OpenStack 各 主要 模块 部 署 的 书 更 是 人 鲜 见 ,这 与 国内 学 习 需 求 和 热情 产生 了 供需 矛盾 。 
究 其 原因 , 一 是 开源 项 目 代 码 更 新 快 ， 二 是 一 般 情况 下 国外 运用 实践 早 于 国内 有 旦 经 验 丰 富 ， 外 加 
语言 的 因素 。 

《OpenStack 实战 》 这 本 书 系 统 地 阐述 了 OpenStack 计算 、 网 络 和 块 存储 等 节点 的 部 署 ， 内 容 

军 ， 得 到 了 Jay Pipes 等 人 的 高 度 赞 扬 。 及 时 地 将 这 本 书 引进 国内 并 翻译 出 版 ， 让 国内 该 者 能 

轻松 地 理解 私有 云 构 建 架 构 和 过 程 , 从 部 署 实 战 的 角度 出 发 帮助 广大 国内 OpenStack 运 维 人 员 和 
开发 者 深入 了 解 和 掌握 OpenStack， 意 义 重 大 。 相 信和 通过 阅读 这 本 书 ， 广 大 读者 可 以 为 规划 和 运 
维基 于 OpenStack 的 企业 私有 云 打下 坚实 的 基础 。 


























一 一 主 庆 

OpenStack 基金 会 个 人 独立 董事 ， 英 特 尔 开源 技术 中 心 云 计算 和 网 络 部 研发 经 理 

一 个 开源 软件 的 成 误 的 特征 就 是 有 相应 的 中 文书 籍 ，OpenStack 也 不 例外 。 把 国外 的 优质 

OpenStack 书籍 翻译 成 中 文 ， 可 以 培养 更 多 的 OpenStack 专业 人 才 ， 大 大 加 快 国内 OpenStack 在 
企业 的 普及 速度 。 

陈 沙 元 

OpenStack 技术 博 主 ( http://www.chenshake.com/ )， 九 州 云 信息 科技 有 限 公司 副 总 裁 

《OpenStack 实战 不 仅 提 供 了 真实 案例 , 供 读者 学 习 如 何 开 发 上 自己 的 云 平台 , 而 且 介 绍 了 为 

什么 要 构建 私有 云 、 私 有 云 技 术 栈 选择 、 物 理 人 硬件 集群 规划 等 内 容 。 阅 读本 书 , 读者 将 会 系统 地 
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对 本 书 的 赞誉 


了 解 如 何 构建 面向 用 户 的 基础 架构 服务 以 及 部 署 和 运行 OpenStack 云 的 技术 细节 。 
一 一 时政 


OpenStack 中 国 区 大 使 ，Qunar DevOPS 工程 师 

动手 实践 一 直 是 技术 人 员 对 复杂 技术 加 次 理解 的 有 效 途 径 ， 这 样 一 本 理论 和 实 跨 结合 的 
OpenStack 指导 手册 不 仪 为 人 门 使 用 者 提供 快速 参考 ， 更 为 深入 人 研究 OpenStack 者 提供 辅助 。 

一 一 郭 长 波 

OpenStack 基金 会 个 人 独立 董事 ，Oslo 项 目 PTL 





译 者 序 





OpenStack 项 目的 特点 通过 它 的 名 字 就 很 好 地 展示 了 一 一 Open (开放 )。 我 开始 接触 
OpenStack 时 ，CloudStack 被 认为 是 最 稳定 的 ， 而 且 那 时 全 球 范 围 内 有 儿 家 电信 企业 采用 了 
CloudStack。 电 信 企 业 的 采用 是 很 重要 的 信号 ,因为 电信 行业 对 可 用 性 要 求 比 较 高 。 但 后 来 眉 上 
的 OpenStack 从 一 开始 就 推 尝 “开放 ”, 号 称 4 个 开放 : 开源 (Open Source ) 开放 式 设 计 ( Open 
Design )、 开 放 式 开发 (Open Development ) 和 开放 式 社 区 (Open Community )。2016 年 下 半年 
参加 的 OpenStack 巴塞 罗 那 峰会 ,在 主题 演讲 会 场 上 , OpenStack 基金 会 首席 运 悄 家 Mark Collier 
再 次 重申 了 上 面 这 4 个 开放 。 

















开源 : 有 很 多 开源 软件 的 所 有 者 同时 发 布 社区 版 与 企业 版 (专业 版 ) 但 OpenStack 从 
一 开始 就 只 有 社区 版 ， 没 有 任何 企业 版 。 

开放 式 设 计 : OpenStack 有 很 多 项 目 , 每 个 项 目 都 有 一 个 项 目 技术 领导 ( Project Technical 
Leader，PTL )， 还 有 若干 个 核心 成 员 〈 Core Member )。 这 些 职位 都 不 是 某 个 公司 指派 
的 ， 而 是 在 很 透明 的 机 制 下 提名 产生 的 。 每 年 两 次 的 OpenStack 峰会 就 包括 设计 峰会 ， 
所 有 需求 讨论 都 是 公开 的 ， 并 使 用 公开 的 文档 记录 工具 记录 ， 如 社区 使 用 比较 多 的 
Etherpad ( http://etherpad.openstack.org/ )。 除 此 之 外 ， 还 使 用 IRC 和 邮件 列表 ，IRC 更 
适用 于 即时 通信 ， 即 所 有 参与 讨论 者 都 是 在 线 的 情况 ， 邮 件 列表 则 更 多 地 考虑 可 能 有 
不 在 线 的 参与 者 有 必要 参与 讨论 的 情况 。 

开放 式 开 发 : 除了 在 设计 峰会 上 讨论 需求 外 ,平时 的 新 功能 ( Blueprints，BP ) 实现 需 
求 都 通过 Launchpad ( https://launchpad.net/ ) 进行 管理 ， 当 然 bug 也 通过 Launchpad 
管理 。 所 有 人 都 可 以 注册 为 开发 者 , 在 Launchpad 提 bug 或 者 BP, 代码 审查 是 通过 社 
区 基础 设施 团队 架设 的 Gerrit 服务 磊 (pttps:Wreview.openstack.org ) 进行 的 ， 所 有 代码 
都 是 先 提交 到 Gerrit 上 ， 所 有 开发 者 都 可 以 评论 和 打分 。 因 此 ， 整 个 开发 过 程 都 是 透 
明 的 。 

开放 式 社区 : 基金 会 的 13 名 技术 委员 (Technical Committee ，TC ) 全 部 由 所 有 活跃 开 
发 者 ( Active Technical Contributors，ATC ) 选举 产生 ， 基 金 会 有 3 类 董事 成 员 ， 每 类 
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8 名 , 共 24 名 , 其 中 有 8 名 是 个 人 董事 , 通过 所 有 社区 参与 者 选举 产生 。 另外 , 在 2016 
年 的 峰会 上 还 讨论 了 成 立 用 户 委员 ( User Committee，UC )， 由 CERN 的 Tim Bell 来 
帮忙 建立 。 这 种 大 的 决策 不 是 某 人 关 起 门 做 出 的 ， 而 是 摆 上 蝎 面 来 讨论 的 。 
也 许 正 是 OpenStack 如 此 开放 ， 才 吸引 了 众多 公司 与 全 球 170 多 个 国家 超过 5 万 名 开发 者 
参与 进来 。 
感谢 市 领 我 进入 实验 室 接触 到 OpenStack 的 员额 杰 老 师 ， 还 有 当时 的 队友 区 家 华 和 林 渗 强 
两 位 同和 学。 记得 当时 是 从 E 版 开始 的 ， 坑 还 是 比较 多 的 。 那 时 很 多 人 的 博客 文章 都 给 了 我 很 大 
的 帮助 ， 感 谢 他 们 无 私 奉 献 ， 分 至 目 己 的 经 验 。 感 谢 带 领 我 进入 唯 品 会 构建 云 平台 的 陈 展 奇 先 
生 , 让 我 真正 接触 到 企业 级 需求 。 从 接触 OpenStack 到 现在 4 年 左右 的 时 间 ,我 看 到 了 OpenStack 
越 来 越 稳定 ， 也 学 到 了 很 多 东西 ， 也 有 很 多 人 都 给 予 了 我 帮助 ， 感 谢 各 位 。 





天 海峰 
OpenStack 巴塞罗那 峰会 有 感 


详 痢 人 税 介 


颜 海峰 ， 目 前 就 职 于 HPE， 在 云 计 算 研发 部 门 担任 软件 工程 师 。 华 南 农业 大 学 学 生 IT 研发 
中 心 首届 成 员 ， 也 正 是 在 此 实验 室 开 始 了 云 计算 的 奇幻 之 旅 。 曾 任 唯 品 会 企业 私有 云 计 算 平 台 、 
网 宿 弹性 计算 服务 的 首 批 研 发 工程 师 。 
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很 难 相 信 从 我 开始 看 到 Nova 的 最 初 源 代码 到 现在 已 经 5 年。 当时 这 些 代 码 刚 发 布 ， 它 们 
是 由 Anso Labs 团队 为 NASA 创建 的 。 当 时 我 在 Rackspace 公司 工作 ,公司 正在 寻找 一 套 新 的 代 
人 码 库 作为 下 一 代 Rackspace 云 。 几 个 月 后 ,Rackspace 开源 了 它 的 Rackspace 云 文件 平台 作为 Swift 
项 目 。Nova 和 Swift 成 为 新 生 的 OpenStack 项 目 最 开始 的 两 个 顶 深 柱 。 

从 那 时 开始 ， 这 两 个 项 目 都 经 历 了 显著 的 变化 。Swift 项 目的 核心 团队 和 代码 库 还 相对 稳定 
些 ， 尺 省 项 目 增 加 了 不 少 新 功能 ， 性 能 和 扩展 性 也 有 所 提升 。 此 外 ， 与 开始 时 的 简陋 相 比 ， 现 在 
Nova 项 目的 源 代码 基本 上 算是 “脱胎 换 骨 ”了 。 新 的 代码 库 ( 如 Glance 、Cinder 、Keystone 和 
Neutron ) 的 创建 都 是 为 了 提供 原本 Nova 提供 的 功能 。 

这 些 新 的 源 代码 被 创建 出 来 处 理 大 规模 计算 基础 设施 的 功能 性 管理 , 同时 一 个 新 型 的 开源 社 
区 也 开始 形成 。 在 操作 系统 分 发 和 打包 、 配 置 管理 、 数 据 库 设计 、 目 动 化 、 网 络 和 存储 系统 有 经 
验 的 开源 开发 者 和 文 持 者 聚拢 起 来 为 OpenStack 贡献 自己 的 力量 。 

我 们 的 社区 以 极 快 的 速度 成 长 ( 并 继续 成 长 )， 快 速成 为 全 球 最 大 、 最 活跃 和 最 有 影响 力 的 
开源 社区 之 一 。 为 了 社区 更 好 地 发 展 ， 更 好 地 面 对 管 理 上 的 挑战 ，OpenStack 基金 会 应 运 而 生 。 
每 年 在 世界 各 地 举办 的 设计 峰会 和 会 议 都 会 吸引 全 球 超过 3500 名 贡献 者 参与 。 社 区 创建 了 一 个 
世界 级 的 持续 集成 和 构建 系统 来 文 持 源 代 但 和 贡献 者 的 快速 增长 。 这 些 目 动 化 构建 系统 的 规模 和 
范围 可 以 比肩 甚至 超过 了 一 些 比较 老 的 开源 社区 ， 如 Apache 和 Eclipse 基金 会 。 

OpenStack 的 生态 系统 成 为 了 一 些 新 成 立 的 公司 (如 SwiftStack 和 Piston Cloud ) 的 沃土 。 同 
样 ， 对 原 有 的 公司 (如 惠普 、Mirantis 和 Red Hat ) 也 是 相当 有 益 ， 它 们 通过 OpenStack 社区 旋 
下 多 个 项 目 持续 推动 创新 。 

OpenStack 社区 的 “膨胀 ”也 让 如 何 部 署 这 些 分 布 式 软件 组 件 以 及 如 何 运 维 它 们 变 得 更 加 复 
杂 。 如 果 想 要 “从 雪 开 始 ”部 署 OpenStack， 就 必须 掌握 从 网 络 和 存储 到 虚拟 化 和 配置 管理 这 些 
广泛 的 知识 。 获取 这 些 必 备 的 知识 和 技能 已 经 成 为 使 用 OpenStack 构建 云 平台 要 面临 的 关键 挑战 
之 一 。 这 本 书 就 提供 了 部 署 和 运营 OpenStack 必 备 的 知识 。 

在 本 书 中 ， 作 者 为 读者 剖析 了 OpenStack 部 署 的 复杂 过 程 ， 介 绍 了 3 种 部 署 方式 : 通过 一 
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个 叫 作 DevStack 的 脚本 工具 ,通过 手动 安装 操作 系统 软件 包 , 以 及 通过 Fuel OpenStack 安装 需 。 
在 每 一 方 中 ， 网 络 和 存储 的 设置 都 有 详细 的 解释 ， 让 读者 逐步 接触 云 计算 ， 并 在 读 完 本 书后 能 
够 很 轻松 地 深入 云 计 算 的 海洋 。 

作者 除了 介绍 了 OpenStack 技术 ,还 解释 了 如 何 评 佑 和 怎样 让 你 的 组 织 从 云 计 算 中 受益 。 云 
并 不 能 神奇 到 把 很 多 组 织 里 基于 人 力 的 手动 和 耗 时 的 过 程 问 题解 决 掉 , 但 通过 灵活 合理 的 应 用 过 
程 ， 云 可 以 让 IT 组 织 发 生变 革 ， 并 显著 提高 它们 提供 服务 的 质量 。 在 第 9 草 中 ，Bumgardner 提 
供 了 任何 正在 考虑 把 现 有 的 虚拟 化 IT 基础 设施 蔡 换 成 OpenStack 或 者 正在 为 内 部 用 户 构 建 一 个 
新 的 私有 云 平台 的 开 总 监 都 必 读 的 内 容 。 

总 的 来 说 ， 本 书 就 像 是 复杂 的 云 计算 世界 和 OpenStack 软件 生态 系统 里 专业 的 启 绽 导师 。 阅 
读 它 ， 吸 收 它 所 讲 的 知识 ， 就 可 以 彻底 变 成 一 个 “Stacker”! 











Jay Pipes 
OpenStack 技术 委员 会 成 员 
Mirantis 公司 技术 总 监 
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我 首次 接触 OpenStack 是 在 2011 年 夏天 , 那 时 我 就 职 于 肯塔基 大 学 ( University of Kentucky )。 
我 和 我 的 同事 兼 好 友 Brent Salisbury 被 邀请 参与 一 家 财 定 50 强 技术 公司 关于 产品 研发 项 目的 讨 
论 。 在 会 议 期 间 , 项 目的 执行 发 起 人 给 了 我 们 两 个 选择 ,使 用 现 有 的 商业 工具 或 者 调研 使 用 一 个 
名 为 OpenStack 的 社区 项 目 。 目 然 结 果 是 我 们 选择 了 调研 我 们 一 无 所 知 的 框架 ,就 这 样 开 始 了 我 
们 的 OpenStack 之 旅 。 这 个 开发 项 目 没 有 任何 产品 产 出 ,但 与 OpenStack 的 “不 期 而 遇 ” 却 成 为 
了 我 学 术 和 职业 生涯 的 转折 点 。Brent 离开 了 肯塔基 大 学 ， 与 别人 合 办 了 一 家 创业 公司 ， 后 来 该 
公司 被 Docker 收购 了 ， 于 是 他 现在 正 就 职 于 Docker 公司 。 而 我 , 走 了 与 他 不 同 的 道路 ， 从 硕士 
本 胞 局 才 细 本 下 这 本 省 5 

在 2013 年 年 初 ，OpenStack 的 Grizzly 版 本 跟 当前 的 版 本 类 似 ， 但 由 于 当时 功能 快速 增加 导 
致 不 稳定 ， 让 我 们 觉得 在 企业 环境 里 ，OpenStack 还 不 能 用 于 生产 环境 。 虽 然 我 没有 冒险 在 企业 
里 使 用 OpenStack， 但 研究 计算 是 另 一 回 事 。 作 为 研究 生 独 立 研究 诛 程 ， 我 在 研究 计算 时 记录 了 
使 用 OpenStack 的 案例 、 架 构 和 策略 。 不 止 这 样 ， 我 还 描述 了 这 个 过 程 ， 最 后 在 我 们 企业 内 部 采 
用 这 个 平台 作为 私有 云 。 

我 在 原创 的 学 术 报 告 里 使 用 图 1 来 表示 OpenStack 在 组 件 层面 的 分 布 式 体现 。 我 推测 要 襄 
饪 一 头 大 象 ， 应 该 跟 吃 它 一 样 ， 一 次 只 能 一 块 。 在 技术 领域 里 ， 我 们 经 党 能 接受 技术 分 离 作 为 
一 个 组 织 的 稳健 做 法 “我 是 存储 人 ”或 者 “我 是 网 络 人 ” 但 对 很 多 人 来 说 ， 首 要 任务 
就 是 只 吃 大 象 的 一 部 分 。 在 本 书 中 ， 我 会 尽量 将 一 些 易 惟 的 知识 和 新 概念 结合 起 来 ， 让 谈 者 更 
容易 理解 。 虽 然 可 能 你 不 想 品 尝 大 象 的 脚 ,但 如 果 想 成 功 地 玩 转 云 计算 ， 最 好 在 原理 上 知道 它 
们 是 怎样 工作 的 。 

现在 我 写 这 个 前 言 , 刚好 是 Manning 出 版 社 的 编辑 第 一 次 找 我 的 两 年 后 。 当 我 开始 这 个 项 目 
时 ， 还 只 有 不 到 500 名 OpenStack 贡献 者 ， 但 现在 已 经 有 好 几 千 名 了 。OpenStack 不 但 成 为 了 成 
长 最 快 的 开源 社区 之 一 ， 同 时 也 被 全 球 规模 靠 前 的 很 多 组 织 采 用 。 更 重要 的 是 ， 至 少 对 你 来 说 ， 
OpenStack 现在 已 经 足够 成 熟 了 ， 可 以 作为 你 的 组 织 的 私有 云 的 基础 。 
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这 幅 图 来 自 于 16 世纪 Maestro Martino 写 的 Libro de Arte Coquinaria ( 关于 亮 饪 艺术 的 书 ) 
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本 书 的 主题 是 通过 OpenStack 来 部 署 企 业 私 有 云 。 在 本 书 中 ,我 把 私有 云 看 成 是 企业 内 部 的 
基础 设施 资源 池 ， 即 基础 设施 即 服 务 (Infrastructure as a Service，IaaS )。 相 反 ， 公 有 云 Iaag 资源 
是 由 第 三 方 服务 提供 商 拥 有 和 运营 的 。 

从 财务 角度 看 ,可 以 把 私有 云 看 成 主要 资产 成 本 ,而 公有 云 通 常 是 运 浓 成 本 。 很 容易 区 别 两 
者 ,在 私有 云 部 署 中 , 不管 实 际 使 用 量 的 大 小 ,企业 通常 都 要 购买 或 者 把 在 其 他 地 方正 常 工 作 的 
基础 设施 挪 过 来 使 用 。 在 公有 云 部 普 中 ,成 本 通常 是 跟 直 接 的 占用 小 时 ( 开机 或 关机 ) 数 和 通信 
开 铺 有 关节 

组 织 采 用 私有 云 还 是 公有 云 通常 与 组 织 的 IT 职责 的 大 小 和 规模 有 关 。 企业 的 IT 部 门 负责 ， 
组 织 其 他 部 门 集中 提供 技术 架构 和 资源 ， 是 使 用 私有 云 的 “既得 利益 者 ”。 一 个 多 租户 、 充 分 编 
排 的 私有 云 为 企业 IT 提供 了 非常 高 效 的 资源 管理 ,在 这 方面 ,企业 IT 部 门 变 成 一 个 “ 云 代 理 商 ”。 
相反 ， 部 门 的 IT 单元 通常 缺乏 数据 中 心 设施 和 部 署 性 价 比 高 的 私有 云 的 人 员 。 通 常 他 们 只 有 少 
量 的 资源 需求 ， 因 此 部 门 可 以 充分 利用 公有 云 资源 。 如 果 可 以 ,部门 也 可 以 充分 利用 由 他 们 的 企 
业 IT 单元 提供 的 私有 云 资源 。 基 于 工作 负载 同时 使 用 私有 云 和 公有 云 就 是 混合 云 架构 本 。 

尽管 云 和 想 充 分 利用 云 的 企业 类 型 不 同 , 但 不 同 的 云 可 以 使 用 相同 的 技术 来 构建 。 虽然 构建 
云 资源 的 要 系 可 以 是 相同 的 , 但 是 使 用 形式 和 方式 可 以 千变万化 。 

OpenStack 是 一 个 可 以 用 来 构建 私有 云 和 公有 云 的 强 有 力 的 框架 。 从 本 质 上 讲 ，OpenStack 
为 构建 云 的 硬件 和 软件 而 抽象 和 提供 了 一 组 通用 的 API 接口 。 这 个 框架 提供 了 两 个 非常 重要 的 
东西 : 

图 ” 便 件 和 软件 资源 的 抽象 ， 这 避免 了 特定 组 件 的 厂商 锁定 ; 

图 一 组 通用 的 资源 管理 API 接口 ， 这 可 以 实现 连接 的 组 件 的 完全 编排 。 

第 一 点 从 财务 角度 来 看 是 非常 好 的 ， 第 二 点 是 现代 IT 变 章 的 关键 。 对 于 企业 IT 部 门 来 说 ， 
OpenStack 为 云 部 署 市 来 了 相同 水 平 的 高 效 变 单 。 










































































二 关于 本 书 


为 什么 选 这 本 书 


本 书 希 望 通过 一 步 步 、 自 底 癌 上 的 方式 , 为 构建 计算 资源 云 提供 指导 。 本 书 的 目标 读者 包括 
打算 部 署 OpenStack 环境 的 研究 人 员 、 系 统管 理 员 和 学 生 。 阅 读本 书 不 需要 有 很 好 的 技术 基础 ， 
只 要 了 解 Linux 的 基本 操作 ， 本 书 的 内 容 适 合 不 同 背 景 和 技术 能 力 的 人 群 。 同 样 ，OpenStack 适 
用 于 多 种 用 例 。 

尽管 不 同 的 用 例 都 使 用 相同 的 OpenStack 框架 , 但 不 同 服务 提供 商 的 私有 云 的 要 求 和 设计 会 
有 很 大 区 别 。 企业 都 希望 为 企业 内 部 提供 私有 资源 云 。 这 种 类 型 的 私有 云 不 只 是 代表 了 一 种 额外 
的 服务 ， 更 是 代表 了 组 织 提 供 计 算 资 源 方式 的 一 个 转变 。 

本 书 由 以 下 几 部 分 组 成 : 

图 ”介绍 目 动 化 部 署 OpenStack 单方 点 开发 环境 ; 

图 ”通过 一 步 步 手 动 部 团 多 市 点 环境 来 次 入 理解 OpenStack; 

国 ”从 IT 运 维 角 度 来 介绍 私有 云 技术 ( OpenStack、Ceph、Juju 等 ) 带 来 的 有 影响; 

图 ”使 用 厂商 提供 的 自动 化 部 署 和 管理 工具 来 部 署 生 产 级 别 的 OpenStack 环境 。 

本 书 介绍 的 架构 适合 于 从 小 规模 (5 个 布点 ) 到 大 规模 (100 个 布点 ) 企业 的 私有 云 部 署 。 
另外 ,第 12 草 还 会 介绍 如 何在 新 构建 的 私有 云 上 使 用 应 用 编排 工具 ,如 OpenStack Heat 和 Ubuntu 
Juju。 

本 书 会 让 读者 理解 私有 云 技 术 、 这 些 技术 的 部 团 和 运 维 ， 以 及 云 编排 对 传统 IT 角色 的 长 期 
影响 。 本 书 会 帮助 读者 更 好 地 说 服 企业 在 其 内 部 部 署 OpenStack 私有 云 ， 同时 帮助 读者 提高 私有 
云 方面 的 技能 。 本 书 的 配置 和 操作 脚本 可 以 到 GitHub 下 载 : https://github.com/codybum/ 
OpenStacklInAction。 

对 读者 而 言 , 需要 理解 的 最 重要 的 一 点 是 , OpenStack 私有 云 不 是 另 一 种 简单 的 虚拟 化 工具 。 
OpenStack 是 充分 利用 现 有 的 虚拟 化 工具 来 构建 和 管理 云 的 框架 。 读 者 将 会 学 到 如 何 构 建 、 部 署 
和 管理 云 。 从 技术 层面 来 看 ， 访 者 将 会 理解 OpenStack 各 个 组 件 和 支持 技术 ， 特 别 是 OpenStack 
计算 、 网 络 、 块 存储 、Dashboard 和 API 组 件 。 


内 容 路 线 图 







































































本 书 划 分 为 3 个 部 分 ， 第 一 部 分 (第 1 章 一 第 4 章 ) 是 入 门 指南 ， 第 二 部 分 (第 5 章 一 第 8 
草 ) 深入 介绍 整个 生态 系统 ， 第 三 部 分 (第 9 草 ~ 第 12 章 ) 介绍 在 生产 环境 中 如 何 使 用 
Openotack 。 

第 1 草 介 绍 OpenStack 云 操 作 系 统 、 开 发 这 个 框架 的 动机 和 OpenStack 能 为 你 的 组 织 做 些 





第 2 半 将 下 接 通 过 一 个 快速 部 彰 工 具 和 最 小 化 的 基础 设施 来 快速 体验 OpenStack。 这 个 体验 
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不 只 是 演示 OpenStack Dashboard 的 使 用 ， 还 提供 一 个 学 习 OpenStack 框架 时 可 以 运行 的 模型 。 
在 第 2 曹 结 尾 ， 读 者 可 以 通过 自己 的 OpenStack 环境 来 创建 虚拟 机 。 

第 3 章 会 使 用 第 2 草 构 建 的 环境 , 介绍 OpenStack 命令 行 工具 ( CLI )。 这 一 章 介 绍 OpenStack 
的 基本 操作 ， 如 创建 新 租户 〈 项 目 ) 用 户 、 角 色 和 内 部 网 络 等 。 

第 4 草 中 ,通过 使 用 OpenStack 来 理解 组 件 的 功能 和 整个 OpenStack 框架 里 各 个 组 件 之 间 的 
交互 。 读 者 可 以 学 到 多 种 云 设 计 方法 ， 让 目 己 可 以 准备 目 己 的 多 节点 部 署 。 这 一 章 还 会 介绍 
OpenStack 组 件 是 如 何 协 同 工 作 的 ， 以 及 它们 与 厂商 资源 的 关系 。 

第 5 草 一 第 8 草 , 每 划分 别 深入 介绍 OpenStack 的 一 个 核心 项 上 日。 这 几 章 会 币 领 读者 进行 多 
节点 环境 下 的 OpenStack 手动 部 署 。 通 过 这 几 童 ， 谱 者 将 会 更 好 地 理解 在 OpenStack 生态 里 面 它 
们 是 如 何 工 作 的 。 另 外 ， 这 些 手动 部 署 工 作 将 会 珊 给 该 者 宝 贯 的 问题 排查 经 验 。 

第 9 草 介 绍 与 生产 环境 中 OpenStack 部 莹 相关 的 架构 、 组 织 和 案 略 决策 。 第 10 草 介 绍 Ceph 
存储 的 基本 部 晋 和 操作 。 第 11 草 会 使 用 Fuel 来 进行 OpenStack 目 动 化 高 可 用 (HA ) 部署。 最后， 
第 12 草 会 介绍 通过 OpenStack Heat 和 Ubuntu Juju 进行 云 编 排 。 


谁 应 该 读 这 本 书 

本 书 适合 对 使 用 OpenStack 来 构建 私有 云 环境 有 兴趣 的 基础 设施 专家 、 工 程 师 、 架 构 师 和 技 
术 支 持 人 员 阅 读 。 本 书 对 身 为 领导 者 和 战略 角色 的 人 有 一 定 的 战略 价值 ,其 内 容 同 时 也 适合 技术 
型 读者 。 阅 读本 书 不 需要 有 很 好 的 技术 基础 ， 只 要 了 解 Linux 的 基本 操作 就 可 以 。 


代码 约定 和 下 载 


















































本 书 所 有 的 代码 都 会 用 等 宽 字 体 与 其 他 文本 内 容 加 以 区 分 。 代 码 注释 伴随 在 很 多 代码 清单 
中 ， 突 出 重要 的 概念 。 在 一 些 例子 中 ， 数 字 编 号 链接 到 代码 清单 后 面 的 解释 。 

读者 可 以 在 Manning 出 版 社 的 网 站 www.manning.com/books/openstack-in-action 和 https:// 
github.com/codybum/OpenStackInAction 下 载 本 书 的 示例 代码 。 


作者 在 线 


本 书包 含 一 个 可 以 免费 访问 的 由 Manning 出 版 社 运 浓 的 私有 网 络 论坛 ,读者 可 以 在 这 里 发 表 
对 本 书 的 评论 ， 询 问 技 术 类 问题 ， 可 以 得 到 作者 或 者 其 他 读者 的 帮助 。 可 以 通过 
www.manning.com/books/openstack-in-action 访问 这 个 论坛 。 这 个 网 页 提供 了 注册 后 如 何 访问 这 个 
论坛 ， 可 以 获得 哪些 帮助 ， 以 及 在 论坛 发 表 文学 的 规则 。 

Manning 出 版 社 为 谈 者 与 读者 之 间 、 读 者 和 作者 之 间 的 沟通 提供 了 场所 ,。 但 由 于 作者 参与 论 
坛 讨论 和 解答 问题 是 完全 目 愿 的 (无偿 的 )， 因 此 作者 对 在 论坛 解答 读者 问题 不 作 任 何 承 话 。 我 



































1v 关于 本 书 


们 建议 读者 向 作者 提出 有 挑战 性 的 问题 来 激发 作者 的 兴趣 ! 当 本 书 正式 出 版 时 , 作者 在 线 论 坛 和 
前 面 提 到 的 文档 都 可 以 通过 出 版 社 网 站 访问 。 
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Cody Bumsardner ( http://codybum.com ) 有 超过 20 年 的 开行 业 的 从 业经 验 , 在 开架 构 、 软 
件 开 发 、 网 络 、 研 究 、 系 统 和 安全 领域 扮演 过 技术 、 管 理 和 销售 角色 。 最 近 几 年 ， 作 者 主要 专注 
于 研究、 实现 和 介绍 云 计算 和 计算 经 济 学 。 他 现在 还 是 肯塔基 大 学 计算 机 科学 的 博士 生 ， 专 注 于 
计算 经 济 学 和 分 布 式 资源 管理 。Cody 现在 还 是 一 家 公立 大 学 的 首席 技术 染 构 师 ( CTA )。 作 者 作 
为 省 遍 技术 架构 师 为 就 职 的 学 校 制 定 了 一 个 5 年 的 云 计算 战略 和 路 线 图 。 这 个 路 线 图 概述 了 商检 
性 的 云 技术 ,并 给 出 了 全 体 开 人 员 的 相关 转变 。 这 个 计划 以 企业 OpenStack 私有 云 部 署 为 核心 ， 
文 持 超过 4 万 个 包括 学 术 、 人 研究 和 医疗 卫生 〈 学 术 ) 方面 的 用 户 。Cody 主要 负责 OpenStack 私 
有 云 、 计 算 人 研究 和 云 计 算 其 他 前 沿 技 术 的 架构 、 账 务 建 模 、 部 署 和 长 期 战略 规划 。 















































关于 封面 








本 书 封面 上 的 图 像 的 说 明文 字 是 “一 位 来 目 库 唐 斯 的 挤 奶 女工 ”"。 这 张 插 图 取 目 经 Louis 
Curmer 编辑 并 于 1841 年 在 巴黎 出 版 的 很 多 艺术 家 的 作品 汇集 而 成 的 作品 集 。 这 个 作品 集 的 名 字 
是 Les Francais peints par eux-mémes， 翻 译 出 来 意思 是 “法 国人 眼中 的 目 己 ”。 每 一 幅 图 集 都 是 精 
工 细作 并 手工 痢 色 的 ， 这 些 丰 富 多 样 的 图 集 形象 生动 地 提醒 者 ，200 多 年 前 的 文化 是 如 何 分 隔 在 
世界 不 同 地 区 、 城 镇 、 乡 村 和 居民 区 的 。 人 与 人 之 间 相 互 独立 , 说 者 不 一 样 的 方 于 和 语言 。 站 在 
大 街 或 者 乡村 小 道上 ， 从 衣着 打扮 就 很 容易 分 清 他 们 住 在 哪里 、 卖 些 什 么 、 人 处 于 什么 样 的 地 位 。 

那 时 如 此 多 元 化 的 区 域 差 异 逐 渐 消 失 了 ,而 从 那 时 起 衣服 着 痛 也 开始 变化 。 现 在 不 同 州 的 后 
民 都 很 难 辨认 出 来 , 更 别 说 不 同城 镇 和 地 区 的 了 。 也许 我 们 以 文化 多 元 化 换 得 了 一 个 更 加 丰富 多 
彩 的 个 人 生活 ， 当 然 也 是 一 个 更 加 多 变 、 快 节 租 的 科技 生活 。 

在 一 个 科技 类 图 书 众 多 的 时 代 ，Manning 以 印 有 两 个 世纪 以 前 丰 军 多样 的 地 区 生活 的 图 书 
封面 赞 倾 了 计算 机 事业 的 创新 性 和 目 主 精神 , 这 些 插 图 又 将 创新 性 和 目 主 精神 重新 囊 回 到 我 们 
的 生活 。 
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第 一 部 分 
入 门 指南 








OpenStack 各 个 组 件 ， 解 释 它 们 与 底层 资源 〈 计算、 人 存储、 网络 等 ) 的 关系 。 这 一 部 分 

将 会 市 领 你 在 单个 节点 上 通过 DevStack 部 署 工 具 来 部 署 OpenStack。 同 时 这 一 部 分 内 
容 还 会 帮 你 思考 如 何 能 将 OpenStack 用 在 你 的 环境 中 ， 并 激发 你 对 这 个 框架 的 兴趣 ,继续 探索 本 
书后 面 的 部 分 ， 更 深入 地 了 解 它 是 如 何 运 作 的 。 


本 书 的 第 一 部 分 是 对 OpenStack 框架 的 介绍 : 为 什么 要 使 用 它 和 如 何 使 用 它 。 齐 析 





第 1 和音 介绍 OpenStack 


加 OpenStack 和 云 生 态 系统 

国 ”选择 OpenStack 的 理由 

加 ”OpenStack 可 以 为 你 和 你 的 组 织 做 些 什么 
国 ”OpenStack 的 核心 组 件 








一 二 十 年 前 ， 很 多 大 型 的 计算 机 硬件 公司 都 通过 自己 生产 制造 专门 的 处 理 需 来 保持 竞争 优 
势 。 但 随 着 成 本 的 上 升 ， 能 制造 出 足够 数量 的 芒 片 来 保持 鱼 利 的 公司 越 来 越 少 。 于 是 ,专门 生产 
芯片 的 厂商 出 现 了 , 它们 可 以 大 规模 生产 通用 处 理 器 , 并 且 大 大 降低 了 成 本 。 从 一 开始 的 只 有 少 
数 计 算 机 芯片 厂商 “ 救 吹 ” 的 基于 英特尔 x86 指令 集 的 标准 化 台式 机 和 服务 器 平台 ,到 最 后 形成 
了 和 采用 通用 硬件 的 客户 -服务 需 的 市 场 格 局 。 

在 21 世纪 初 的 互联 网 风潮 下 ， 互 联网 快速 发 展 ， 从 而 出 现 了 大 量 大 规模 使 用 通用 人 硬件 的 数 
据 中 心 。 虽然 通用 人 硬件 设备 强大 旦 便宜 , 但 它 的 架构 就 跟 我 们 看 到 的 台式 机 一 样 ,不 是 按 中 心 化 
管理 的 思想 来 设计 的 。 没 有 现成 的 工具 可 以 用 来 像 管理 资源 池 一 样 管理 这 些 通 用 便 件 设备 。 更 精 
糕 的 是 ， 在 那 时 ， 这 些 服务 旭 缺 少 人 硬件 管理 的 能 力 ( 辅助 管理 卡 )， 看 起 来 跟 台 式 机 一 样 。 不 像 
大 型 机 和 大 型 对 称 多 处 理 结构 (symmetric multiprocessing，SMP ) 的 机 需 ， 这 些 通 用 服务 需 跟 侣 
式 机 一 样 ， 需 要 通过 软件 管理 层 来 协调 其 他 独立 的 资源 。 

在 这 个 阶段 ， 公 共 或 者 私有 的 组 织 在 自己 内 部 开发 出 很 多 管理 框架 来 管理 公共 资源 。 网 1-1 
展示 了 跨越 多 个 数据 中 心 的 相互 连接 的 资源 池 。 通过 管理 框架 , 这 些 公共 资源 可 以 基于 其 可 用 人 性 
或 者 用 户 和 需求 来 灵活 使 用 。 不 知道 谁 创造 了 这 个 术语 , 这 种 通过 管理 框架 来 灵活 使 用 通用 便 件 设 
备 的 计算 方式 ， 可 以 说 是 拥有 了 资源 “ 云 ”。 






















































数据 中 心 的 机 架 


巴黎 数据 中 心 
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每 个 机 架 的 资源 
1-1 彼此 互联 的 通用 资源 的 云 


在 这 个 阶段 ， 在 很 多 商用 或 者 开源 的 云 管 理 软 件 之 中 ，OpenStack 是 最 为 流行 的 一 个 。 
OpenStack 提供 了 一 个 通用 的 平台 来 控制 云 计 算 里 面 的 服务 硕 〈 计算) 存储、 网络 ， 甚 至 应 用 资 
源 。OpenStack 可 以 通过 基于 Web 的 界面 、 命 令 行 工具 (CLI) 和 应 用 程序 接口 (API ) 来 进行 管 
理 。 这 个 管理 平台 不 仅 能 管理 这 些 资源 , 更 妙 的 是 它 不 需要 你 去 选择 特定 便 件 或 者 软件 厂商 。 广 
商 特定 组 件 可 以 轻松 地 被 蔡 换 成 通用 组 件 ，OpenStack 为 IT 业界 各 类 从 业 人 员 创 造 了 价值 。 

-种 更 好 理解 OpenStack 的 方式 是 了 解 在 亚马逊 网 站 上 购物 的 过 程 。 用 户 登 录 亚 马 逊 网 站 ， 
然后 购物 ， 商 品 将 会 通过 快递 派送 。 在 这 种 场景 之 下 ,一 个 高 度 优化 的 编排 步骤 是 尽 可 能 快 并 且 
以 尽 可 能 低 的 价格 把 商品 买 回 家 里 。 亚 马 逊 成 立 12 年 后 推出 AWS( Amazon Web Services )。AWAS 
把 用 户 在 亚马逊 网 站 购买 商品 这 种 做 法 应 用 到 了 计算 资源 的 交付 上 。 一 个 服务 硕 请 求 可 能 要 花 视 
本 地 IT 部 门 几 周 的 时 间 去 准备 ,但 在 AWS 上 只 需要 准备 好 信用 卡 ,然后 点 击 几 下 鼠标 即 可 完成 。 
OpenStack 的 目标 就 是 提供 像 AWS 或 者 其 他 服务 提供 商 一 样 水 准 的 高 效 资 源 编排 服务 。 
OpenStack 是 什么 ? 
国 对 于 云 计 算 平台 /系统 /存储 /网 络 管理 员 来 说 , OpenStack 可 以 控制 多 种 类 型 的 商业 或 者 开 
源 的 软 人 硬件 ， 提供 了 位 于 各 种 厂商 特定 资源 之 上 的 云 计算 资源 管理 层 。 人 磁盘 和 网 络 配 置 
这 些 重复 性 手动 操作 任务 现在 可 以 通过 OpenStack 框架 来 进行 自动 化 管理 。 事 实 上 ， 提 
供 虚 拟 机 甚至 上 层 应 用 的 整个 流程 都 可 以 通过 使 用 OpenStack 框架 进行 自动 化 管理 。 
国 对 于 开发 者 来 说 ，OpenStack 是 一 个 在 开发 环境 中 可 以 像 AWS 一 样 获得 资源 (虚拟 机 、 
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存储 等 ) 的 平台 ， 还 是 一 个 可 以 基于 应 用 模板 来 部 署 可 扩展 应 用 的 云 编排 平台 。 可 以 想 
象 一 下 ， 通 过 OpenStack 框架 ， 可 以 为 应 用 提供 基础 设施 (X 虚拟 服务 大 有 了 容量 内 存 ) 
和 相应 的 软件 依赖 (MySQL、Apache2 等 ) 资源 。 

图 对 于 最 终 用 户 米 说 , OpenStack 是 一 个 提供 上 自助 服务 的 基础 设施 和 应 用 管理 系统 。 用 户 可 
以 做 各 种 事情 ， 从 人 简单 的 像 AWS 一 样 提 供 虚 拟 机 (VM )， 到 构建 高 级 虚拟 网 络 和 应 用 ， 
这 些 都 可 以 在 一 个 独立 的 租户 ( 项目 ) 内 完成 ,租户 ,也 就 是 我 们 所 说 的 项 目 ,是 OpenStack 
用 来 对 资源 分 配 进行 阳 离 的 方式 。 租 户 隅 离 了 存储 、 网 络 和 虚拟 机 这 些 资 源 ， 因 此 ， 最 
终 用 户 可 以 拥有 比 传统 虚拟 服务 环境 更 大 的 目 由 度 。 可 以 想象 一 下 ， 最 终 用 户 被 分 配 了 
一 定额 度 的 资源 ， 他 们 可 以 随时 获得 他 们 想 要 的 资源 。 














虚拟 机 和 租户 


在 本 书 中 ， 虚 拟 机 指 的 是 模拟 物理 服务 器 的 一 个 实例 。 与 物理 机 一 样 ， 虚 拟 机 执行 相同 的 功能 ， 
从 操作 系统 的 角度 来 看 , 无 法 区 分 是 运行 在 虚拟 机 还 是 物理 机 上 。 导致 虚拟 机 被 使 用 的 原因 多 种 多 样 ， 
但 大 多 数 的 虚拟 化 推动 力 可 以 归结 为 : 以 牺牲 性 能 来 获得 通过 软件 对 资源 的 灵活 控制 。 从 一 个 更 高 的 
角度 来 说 ， 你 可 以 认为 OpenStack 之 于 数据 中 心 ， 就 像 操 作 系统 之 于 服务 器 ,都 带 来 了 相同 水 平 的 运 
行 效率 。 

读者 将 在 本 书 多 处 看 到 租户 这 个 词 , 在 OpenStack 里 面 这 个 词 有 特定 含义 。 我 们 可 以 认为 租户 就 
是 资源 的 配额 限制 集合 ， 被 虚拟 机 用 来 在 逻辑 上 与 不 同 租 户 互相 隔离 。 例 如 ， 一 个 用 户 在 租户 A 配 错 
了 网 络 ， 但 租户 B 并 不 会 受到 影响 。 


OpenStack 基金 会 拥有 数 以 百 计 的 官方 企业 赞助 商 ， 以 及 数 以 万 计 的 履 盖 130 多 个 国家 或 地 
区 的 开发 者 组 成 的 社区 。 像 Linux 一 样 ， 很 多 人 将 会 被 OpenStack 吸引 ， 作 为 其 他 商业 产品 的 一 
个 开源 的 符 代 品 。 但 他 们 将 会 逐渐 认识 到 ， 对 于 云 框架 来 说 ， 没 有 哪个 云 框 架 拥 有 OpenStack 这 
样 的 服务 次 度 和 广度 。 也 许 更 为 重要 的 是 ,没有 其 他 产品 , 包括 商业 或 者 非 商 业 的 ,能 被 大 多 数 
的 系统 管理 员 、 开 发 者 或 者 架构 师 使 用 并 为 他 们 组 织 创造 这 么 大 的 价值 。 
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让 我 们 来 详 述 OpenStack 作为 定理 、 规 定 和 利用 云 资源 的 框架 的 定义 。OpenStack 官方 网 站 
( www.openstack.org ) 这 样 描述 这 个 框架 :创建 私有 云 和 公有 云 的 开源 软件 。 接着 是 :“OpenStack 
软件 是 一 个 大 规模 云 操 作 系 统 。 如 有 果 谈 者 有 服务 天 虚拟 化 的 经 验 ， 也 许 谈 者 会 很 快 地 得 出 这 样 
不 正确 的 结论 : OpenStack 只 是 提供 虚拟 机 的 另外 一 种 方式 。 虽 然 虚 拟 机 是 OpenStack 框架 可 以 
提供 的 一 种 服务 ， 但 这 并 不 意味 着 虚拟 机 是 OpenStack 的 全 部 。 

图 1-2 展示 了 OpenStack 通过 其 几 个 资源 组 件 协调 来 提供 公有 云 服务 和 私有 云 服务 。 如 图 所 
示 ，OpenStack 没有 取代 资源 提供 者 ， 它 只 是 通过 框架 内 部 的 控制 点 来 简单 地 管理 这 些 资源 。 

一 个 有 经 验 的 系统 管理 员 也 许 会 非常 怀疑 OpenStack 是 一 个 “ 云 操作 系统 "的 描述 .OpenStack 
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不 像 管理 员 通 过 局 动 盘 引导 局 动 几 百 台 传统 操作 系统 服务 货 那 样 , 直接 在 裸 设 备 上 引导 局 动 。 相 
反 ， 它 通过 对 资源 的 管理 ， 在 云 计 算 环 境 里 共 至 操作 系统 的 特性 








、 | 一 ~ 
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物理 资源 ”虚拟 资源 


存储 时 
服务 器 下 


图 1-2 OpenStack 是 一 个 云 操作 系统 


在 OpenStack 云 平 台 上 用 户 可 以 : 

图 ”充分 利用 物理 服务 器 、 虚 拟 服 务 右 、 网 络 和 存储 系统 资源 ; 

图 ”通过 租户 、 配 额 和 用 户 角 色 高 效 管理 云 资源 ; 

图 ”提供 一 个 对 底层 实现 透明 的 通用 的 资源 控制 接口 。 

乍 看 之 下 ，OpenStack 确实 不 像 是 一 个 传统 操作 系统 ,但 “ 云 ” 同 样 不 像 传统 计算 机 。 我 们 
必须 回 过 头 来 重新 考虑 一 个 操作 系统 的 根本 作用 。 

最 初 ， 操 作 系 统 乃 至 人 硬件 层面 抽象 语言 (汇编 语言 )、 程 序 都 是 用 二 进 制 机 需 码 来 编写 的 。 
然后 传统 操作 系统 出 现 了 ， 人 允许 用 户 不 仅 可 以 编写 应 用 程序 代码 , 还 可 以 管理 硬件 功能 。 现 在 管 
理 员 可 以 使 用 通用 的 接口 管理 硬件 实例 , 开发 者 可 以 为 通用 操作 系统 写 代 码 , 用 户 只 需要 学 习 一 
个 用 户 交 巨 接 口 即 可 。 这 样 可 有 效 地 对 底层 硬件 透明 化 ， 只 需要 操作 系统 是 一 样 的 。 在 计算 机 进 
化 演变 过 程 中 ， 操 作 系 统 的 发 展 和 新 操作 系统 的 出 现 ， 给 系统 工程 和 管理 领域 带 来 了 风险 。 
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图 1-3 展示 了 现代 计算 系统 的 各 个 抽象 的 层次 。 


指令 集 架 构 Openstack 


机 更 码 汇编 字 节 码 厂商 API OpenStack 
PI 


通用 抽象 层 





每 层 的 通用 访问 方法 
1-3 ”计算 抽象 的 层次 


茎 无 疑问 , 过 去 的 一 些 开发 者 不 想 因 为 使 用 操作 系统 而 失去 了 对 便 件 的 下 接 控 制 , 正如 有 些 
管理 员 不 想 因 为 服务 俘 虚 拟 化 而 失去 对 旗 层 硬件 和 操作 系统 的 控制 。 在 每 次 转变 过 程 中 ， 从 机体 
码 到 汇编 ,再 到 虚拟 层 , 我 们 一 直 没 有 失去 对 底层 的 控制 ; 每 次 都 是 通过 抽象 手段 简单 标准 化 而 
己 。 我 们 仍然 拥有 高 度 优化 的 人 硬件， 我 们 仍然 拥有 操作 系统 ， 只 不 过 更 笛 见 的 是 我 们 拥有 这 些 层 
面 之 间 的 使 件 虚拟 化 层 。 

新 的 抽象 层 被 广泛 接受 ， 通 利 是 因为 对 标准 实现 优化 的 好 处 大 于 在 这 些 层面 上 做 〈 虚拟 化 ) 
转换 。 也 就 是 说 ， 当 整体 计算 资源 的 使 用 率 能 通过 牺牲 原生 性 能 来 得 到 很 好 的 提升 , 那 这 一 个 层 
面 的 抽象 就 会 被 接受 。 这 个 现象 可 以 通过 中 央 处 理 器 (CPU ) 的 例子 来 清晰 展现 ， 这 几 十 年 ， 中 
央 处 理 带 都 避 守 相 同 的 指令 集 ， 但 它们 内 部 的 架构 却 发 生 了 翻天 宪 地 的 变化 。 

大 多 数 人 想到 中 央 处 理 带 时 , 都 没 想到 便 件 层面 的 虚拟 化 和 执行 形式 的 变化 , 但 事实 就 是 这 
样 。 很 多 在 x86 处 理 融 上 执行 的 指令 可 以 被 处 理 融 内 部 虚拟 化 , 一 些 复杂 的 指令 可 以 通过 一 系列 
更 简单、 更 快速 的 指令 来 执行 。 指 令 层面 优化 的 复杂 度 不 在 本 书 的 讨论 范围 内 , 但 很 有 必要 去 了 
解 ， 即 使 是 使 用 裸 设 备 ， 即 使 是 在 处 理 融 层面 ， 也 是 应 用 到 了 茶 种 形式 的 虚拟 化 。 现 在 ， 与 其 天 
注 失 去 了 控制 , 不 如 想象 一 下 ,通过 使 用 一 个 共同 的 框架 来 管理 、 监 控 和 部 车 基础 设施 和 应 用 的 
私有 和 公有 云 。 只 有 回 前 迈 出 转变 的 步伐 ， 才 会 真正 领会 OpenStack。 


























数 十 年 间 CPU 的 抽象 和 虚拟 化 


英特尔 的 x86 指令 集 首 次 出 现在 1978 年 推出 的 英特尔 8086 处 理 器 上 , 作为 英特尔 8080 处 理 器 
的 向 后 兼容 替代 品 。x86 指令 集 定 义 了 一 系 多 对 处 理 器 变化 透明 的 汇编 指令 。 从 那 以 后 ， 新 的 “处 理 
器 扩展 特性 ”不 断 被 添加 进来 ， 处 理 器 时 钟 周 期 也 不 断 提 升 ， 但 已 存在 的 指令 依旧 保留 下 来 。 

随 着 更 快 的 处 理 器 需求 的 增长 ， 因 此 产生 了 软件 能 在 不 同 代 处 理 器 之 间 互 操作 的 需求 。CPU 设计 
者 需要 对 低级 别 抽象 进行 弹性 优化 ,同时 还 要 保留 指令 级 别 的 兼容 性 ( 标准 化 )。 设计 者 不 用 担心 关于 
如 何 保持 底层 硬件 一 致 的 问题 ， 这 样 他 们 可 以 在 不 同 代 处 理 器 间 极 大 地 提升 处 理 器 的 时 钟 速度 。1995 
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年 ， 英 特 尔 的 奔腾 Pro ( Pentium Pro ) 处 理 器 引入 了 微 操 作 解 码 ( micro-op decoding ) 这 个 概念 。 
之 前 一 个 特定 指令 就 是 一 个 指令 时 钟 周期 ， 通 过 翻译 这 个 指令 为 多 个 简单 微 指 令 ， 每 个 微 指令 就 是 一 
个 指令 时 钟 周期 。 

除了 微 操作 ， 奔 腾 Pro 处 理 器 还 引入 了 指令 的 无 序 执行 和 内 存 的 虚拟 化 ( 通过 32 位 总 线 对 36 位 
内 存 进行 寻 址 ) 来 对 处 理 器 进行 优化 。 但 这 些 对 开发 者 来 说 是 完全 抽象 化 的 ， 人 允许 相同 的 应 用 运行 在 
不 同 厂商 出 品 的 不 同 代 的 处 理 器 上 。 这 种 保持 指令 级 别 兼容 性 的 方式 依然 使 用 在 当前 的 x86_64 处 理 
器 中 。 


ca 理解 云 计 算 和 #C 时 Rk 


本 书 主要 关注 如 何 通过 使 用 OpenStack 来 部 署 企 业 私 有 云 。 同 时 ， 我 会 把 私有 云 描绘 成 其 
所 在 的 组 织 内 部 拥有 和 管理 的 基础 设施 ( 虚拟 机 、 存 储 等 ) 资源 池 ， 也 就 是 我 们 所 说 的 基础 设 
施 即 服 务 ( Infrastructure as a Service，IaaS )。 相 反 ， 公 有 云 IaaS 资源 由 第 三 方 服务 提供 商 拥有 
和 运营 ， 如 亚马逊 的 AWS、 微软 的 Azure 等 。 本 书 的 目标 是 帮 你 把 公有 云 服 务 的 简单 和 高 效 带 
到 你 的 企业 。 








经 济 考量 : 私有 云 与 公有 云 
从 财务 角度 看 ,我 们 可 以 把 私有 云 看 成 主要 资本 支出 ， 公 有 云 则 是 运营 支出 。 这 个 区 别 很 容易 
理解 ,在 私有 云 部 署 时 , 你 的 组 织 要 购买 基础 设施 或 者 把 在 其 他 地 方正 常 工作 的 基础 设施 挪 过 来 使 
用 。 而 在 公有 云 中 ， 成 本 直接 与 资源 使 用 挂钩 ( 使 用 才 付 费 ， 不 使 用 不 付费 )， 当 然 还 有 网 络 通信 
开销 。 
组 织 选 择 私有 云 还 是 公有 云 通常 取决 于 使 用 资源 的 规模 和 组 织 内 部 IT 部 门 的 职责 范围 。 企 
业 IT 部 门 的 职 贡 如 果 是 集中 为 其 他 部 门 提 供 拉 术 架 构 和 资源 供给 ， 部 普 私 有 云 更 有 利 。 一 个 多 
租户 ( 数据、 配置 和 用 户 省 理 在 逻辑 上 是 租户 间隔 离 的 )、 完 全 实现 编排 的 私有 云 可 以 让 企业 IT 
部 门 成 为 私有 云 代 理 。 


























多 租户 和 完全 编排 


多 租户 指 的 是 在 云 平 台中 以 部 门 级 别管 理 计 算 资 源 的 能 力 。 例 如 ， 一 个 市 场 营销 部 门 可 以 分 配 一 
定 比例 的 共享 资源 ( XX 台 虚 拟 机 、 久 容量 的 存储 等 )， 这 个 部 门 可 以 随意 使 用 这 些 资源 而 不 影响 中 心 组 
织 ( 回顾 一 下 亚马逊 购买 模型 )。 同 样 ， 完 全 编排 描述 了 应 用 程序 依赖 资源 的 分 配 能 力 。 例 如 ， 一 个 会 
计 应 用 程序 和 它 的 Web 服务 、 数 据 库 服务 等 依赖 可 以 被 程序 化 部 署 在 一 个 环境 里 。 因 此 , 市场 营销 部 
门 不 只 能 在 一 个 特定 租户 内 管理 它 的 资源 ， 还 能 通过 平台 编排 服务 来 部 署 基础 设施 ( 虚拟 机 ) 和 应 用 
程序 ( MySQL、Apache2、 定 制 的 应 用 程序 等 )。 


相 比 之 下 ， 如 果 是 部 门 中 的 IT 单位 ， 通 第 缺乏 数据 中 心 基础 设施 和 部 团 蜗 性 价 比 的 私有 云 
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的 人 员 。 由 于 他 们 相对 小 的 资源 需求 ， 部 门 中 的 IT 单位 通常 可 以 利用 公有 云 资源 ， 或 者 利用 他 
们 企业 的 I 开 部门 提供 的 私有 云 资源 。 

如 果 基 于 工作 负载 同时 使 用 私有 云 和 公有 云 , 那么 这 种 结合 使 用 称 为 混合 云 。 公 有 云 和 私有 
云 都 是 使 用 相同 的 技术 来 构建 , 不 过 虽然 构建 组 件 可 能 一 样 , 但 使 用 私有 云 和 公有 云 的 动机 可 能 
完全 不 同 。 例 如 ,用 户 经 浓 因 为 安全 合 规 性 原因 而 使 用 私有 云 。 通 笛 来 说 ， 下 列 这 些 工 作 负 载 会 
使 用 公有 云 : 本 质 上 是 周期 性 的 工作 负载 , 或 者 需要 一 个 对 企业 来 说 非常 昂 贯 的 全 局 规模 的 工作 
负载 。 

虽然 本 书 主要 介绍 如 何 使 用 OpenStack 构建 私有 云 ， 但 也 有 很 多 内 容 是 介绍 如 何 基于 
OpenStack 的 API 来 直接 转换 成 公有 云 提供 商 的 服务 。 














抽象 和 OpenStack API 


从 根本 上 讲 ，OpenStack 抽象 和 提供 了 一 个 通用 的 API 接口 来 控制 不 同 厂商 提供 的 人 硬件 和 软 
件 资源 。 这 个 框架 提供 了 两 个 很 香 要 的 内 容 。 
图” 便 件 和 软件 的 抽象 , 这 样 避免 了 所 有 特定 组 件 的 厂商 锁定 问题 。 这 是 通过 使 用 OpenStack 
管理 资源 来 实现 的 , 而 不 是 直接 通过 厂商 组 件 。 这样 做 的 缺点 是 除了 通用 的 必要 功能 外 ， 
并 不 是 所 有 的 厂商 功能 都 被 OpenStack 支持 。 
图 一 个 通用 的 API 管理 所 有 资源 ， 人 允许 连接 各 个 组 件 进 行 完 全 编排 服务 。 
第 一 点 从 财务 角度 来 看 是 非常 好 的 ， 第 二 点 则 是 现代 IT 变 单 的 关键 。 





























这 有 什么 内 幕 呢 


OpenStack 提供 了 可 伸缩 和 被 抽象 的 底层 硬件 的 各 种 功能 的 支持 。OpenStack ( 或 者 其 他 云 框 架 ) 
不 能 做 到 的 是 主动 顺应 你 当前 的 技术 实践 。 为 了 充分 利用 云 计 算 的 能 力 ， 你 必须 对 当前 的 业务 和 架构 
实践 进行 相应 的 转变 。 

如 果 你 的 架构 标准 是 基于 使 用 厂商 提供 的 适当 功能 来 对 数据 中 心 所 有 服务 器 实现 某 些 功能 ， 这 样 
会 与 对 厂商 抽象 的 云 部 署 冲突 。 如 果 你 的 业务 实践 只 是 按 用 户 需求 创建 虚拟 机 ， 那 你 就 没有 抓 住 云 自 
助 服务 的 本 质 。 如 果 最 终 用 户 的 请 求 可 以 被 高 效 自 动 化 执行 ， 或 者 用 户 可 以 自我 供给 资源 ， 那 你 就 是 
充分 利用 了 云 计算 的 能 力 。 


1.3 市 将 把 OpenStack 与 其 他 相应 技术 (也许 是 你 熟悉 的 ) 天 联 起 来 。 


XX 关联 太 曙 时 纱 及 其 控制 的 计算 资源 


前 面 介绍 了 OpenStack 能 带 来 的 好 处 ,但 它 是 如 何 工 作 的 呢 ?” 也 许 ， 理 解 OpenStack 是 怎样 
工作 的 最 人 简单 的 方式 是 把 这 个 框 染 与 企业 环境 内 的 常见 技术 关联 起 来 。 

在 本 市 中 ,读者 将 会 了 解 OpenStack 是 如 何 与 它 控制 的 基础 资源 ( 计算、 存储 、 网 络 等 ) 天 
联 起 来 的 。 如 你 所 见 ，OpenStack 通常 不 提供 实际 意义 上 的 资源 ， 它 只 是 简单 控制 这 些 低层 次 的 
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资源 。 图 1-4 展示 了 OpenStack 是 如 何 管理 资源 的 提供 者 的 ， 它 们 轮流 被 虚拟 机 使 用 。 


Openstack 服 务 


Openstack Dashboard 


为 服务 提供 用 户 界面 “0 


es 3 







厂商 提供 的 资源 = 
ss 


厂商 网 络 “厂商 虚拟 机 监控 器 厂商 存储 系统 
被 虚拟 机 使 用 的 资源 一 了 


虚拟 机 网 络 虚拟 机 计算 虚拟 机 卷 
1-4 OpenStack 资源 管理 模型 


在 接 下 来 的 小 市 里 , 读者 将 会 看 到 关联 特定 资源 组 件 的 详情 : 服务 硕 虚 拟 化 , 通过 对 hypervisor 
( 虚拟 机 管理 器 ) 的 控制 ; 网 络 , 通过 对 厂商 提供 的 人 硬件 和 OpenStack 服务 的 控制 ; 块 和 对 象 存储 ， 
通过 对 厂商 和 OpenStack 服务 的 控制 。 最 后 ， 我 们 会 看 到 Openstack 各 个 服务 和 和 常见 的 云 术 语 的 关 
联 。 如 你 所 见 ，OpenStack 是 一 个 协调 资源 和 服务 的 框架 ， 而 不 关心 有 哪 家 底层 技术 厂商 。 











1.3.1 OpenStack 和 hypervisor 


hypervisor 或 者 虚拟 机 监控 大 ( Virtual Machine Monitor，VMM ) 是 一 种 为 虚拟 机 进行 物理 人 硬 
件 仿真 的 管理 软件 ,OpenStack 不 是 一 个 hypervisor, 但 它 确实 控制 着 hypervisor 的 操作 ,OpenStack 
框架 支持 多 种 hypervisor, 包括 XenServer/XCP、KVM、QEMU、 LXC、 ESXi、Hyper-V、BareMetal 
和 其 他 (可 通过 下 列 网 址 查看 hypervisor 的 支持 列表 : https://wiki.openstack.ore/wiki/ 
HypervisorSupportMatrix )。 该 者 可 能 对 VMware ESX、VMware ESXi 和 Microsoft Hyper-V 比较 
熟悉 ， 因 为 这 些 是 当前 企业 虚拟 化 市 场 主 流 的 hypervisor。 因 为 许可 限制 、 成 本 和 其 他 因素 ， 
OpenStack 社区 对 这 些 商 业 hypervisor 的 支持 要 少 于 开源 的 hypervisor。 

图 1-5 展示 了 OpenStack 如 何 管理 物理 硬件 上 被 hypervisor 虚拟 化 的 资源 ,在 一 个 OpenStack 
集群 内 ，OpenStack 协调 多 个 hypervisor 资源 和 虚拟 机 的 管理 。 
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Openstack 计 算 


| 


管理 hypervisor 





虚拟 硬件 | 服务 器 硬件 


.| RAM 
网 络 


虚拟 机 计算 
1-5 OpenStack 管理 着 hypervisor 


无 论 部 署 规模 多 大 , 大 多 数 的 个 人 和 组 织 采 用 的 hypervisor 是 XenServer 或 者 KVM， ee 





是 支持 最 多 功能 的 hypervisor。XenServer 是 思 杰 (Citrix ) 公司 的 产品 ， 从 严格 意义 上 来 说 ， 
是 开源 的 hypervisor， 但 商业 文 持 通过 思 杰 公司 提供 。KVM 已 经 是 Linux 内 核 的 一 部 分 ， -my 
很 多 Linux 发 行 版 的 维护 者 提供 KVM 的 商业 文 持 ， 包 括 红 帽 ( Red Hat )、Ubuntu、SUSE 等 。 





你 通过 认证 了 吗 ” 随 着 大 量 提 供 商 开始 设计 基于 OpenStack 框架 的 公有 IaaS 服务 , 他 们 很 快意 识 
到 自己 的 客户 可 能 需要 微软 对 和 运行 在 Windows 主机 上 的 hypervisor 进行 认证 。 当 时 ， 思 杰 公 司 的 
XenServer 已 经 满足 了 认证 条 件 ， 并 通过 了 微软 的 认证 过 程 。 但 是 ， 尽 管 思 杰 公 司 有 一 个 以 
CloudStack 形式 竞争 的 平台 ,很 多 组 织 还 是 使 用 了 XenServer 作为 他 们 的 OpenStack hypervisor。 
自从 很 多 Linux 发 行 厂商 通过 了 微软 的 认证 以 后 ， 现 在 可 以 完全 支持 Windows 运行 在 KVM 
hypervisor 上 ， 包 括 那 些 被 OpenStack 控制 的 hypervisor 上 。 


本 书 将 采用 基于 内 核 的 虚拟 机 (Kernel-based Virtual Machine，KVM ) 作为 hypervisor。 目 





2007 年 发 布 的 Linux 2.6.20 开始 ，KVM 被 并 进 Linux 内 核 ， 完 全 被 OpenStack 支持 。KVM 还 提 
供 了 半 虚 拟 化 , 但 需要 操作 系统 原生 支持 ,或 者 通过 在 虚拟 操作 系统 镜像 添加 hypervisor 特定 驱 


动 来 进 1 








了 文 持 。 使 用 开源 的 hypervisor 的 传统 问题 是 部 著 和 维护 它 的 学 习 曲 线 陡峭 ,经常 需要 拥 


de 至 验 。 侠 运 的 是 ,在 组 织 内 部 提供 集中 化 支持 的 虚拟 化 资源 ， 资 源 申请 


儿 须 通 








织 的 网 络 、 系 统 、 安 全 和 财务 供给 流程 。 通 常用 户 有 以 下 3 种 选择 。 
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图 使 用 社区 代码 ， 自 给 自足 一 一 社区 维护 的 软件 使 用 社区 的 文 持 ， 目 己 负 责 部 署 的 设计 、 





开发 和 运 维 。 
图 使 用 社区 代码 ， 商 业 支 持 一 一 社区 维护 软件 使 用 厂商 支持 ， 你 和 厂商 或 者 只 是 厂商 负责 
部 香 。 








图 使 用 社区 项 目的 厂商 分 支 ， 商 业 支 持 一 一 使 用 厂商 提供 的 软件 和 支持 ， 你 通常 只 需要 负 
责 部 署 关联 的 运 维和 厂商 管理 。 
虽然 很 多 厂商 提供 OpenStack 和 KVM 的 商业 文 持 ， 但 很 多 为 工作 负载 构建 的 内 部 云 不 需要 
商业 文 持 或 者 认证 ， 因 此 ， 用 OpenStack 文 持 没 有 购买 商业 文 持 的 KVM 也 是 很 流行 的 做 法 。 无 
论 你 如 何 部 署 和 采用 哪 种 文 持 方式 ， 本 书 提 供 的 材料 都 一 样 有 用 。 

















Linux 容器 ”最 近 ， 一 些 人 对 操作 系统 级 别 的 虚拟 化 应 用 产生 了 浓厚 的 兴趣 ， 而 不 是 OpenStack 
实例 提供 的 基础 设施 级 别 的 虚拟 化 。 操 作 系统 级 别 的 虚拟 化 可 以 在 单一 服务 器 上 和 运行 多 个 相互 隔 
离 的 操作 系统 实例 ( 容器 )。 但 它 不 是 hypervisor 技术 一 一 它 运行 在 系统 级 别 ， 所 有 容器 共享 相同 
的 内 核 。 你 可 以 把 容器 想象 成 在 需要 的 地 方 提 供 虚 拟 的 隅 离 ， 而 没有 全 虚拟 化 的 模拟 开销 。 

目前 最 流行 的 两 个 操作 系统 级 别 的 虚拟 化 项 目 是 Docker ( https://www.docker. com/ ) 和 Rocket 
( https://github.com/coreos/rkt )。 虽 然 容 器 是 否 比 基础 设施 级 别 实例 更 适用 于 应 用 程序 运行 时 传递 
还 存在 争议 ， 但 毫 无 疑问 的 是 ， 基 于 容器 的 技术 将 会 在 构建 云 时 广泛 采用 。 


1.3.2 OpenStack 和 网 络 服务 


OpenStack 不 是 一 个 虚拟 交换 机 ,但 它 确实 管理 
多 个 物理 、 虚 拟 的 网 络 设备 和 虚拟 覆盖 网 络 ( overlay 
network )。 不 像 OpenStack 控制 虚拟 机 控制 各 那样 受 
限于 hypervisor 提供 的 服务 ，OpenStack 直接 提供 网 
络 服务 ， 如 DHCP、 路 由 等 。 但 与 hypervisor 管理 类 
似 ，OpenStack 对 底层 厂商 技术 透明 ， 可 以 是 商业 或 
者 开源 的 技术 。 

更 重要 的 是 ， 后 端 技术 的 改变 ， 如 从 一 种 网 络 / 
厂商 切换 到 另 一 种 网 络 / 广 商 ， 并 不 需要 客户 端 配 置 
进行 改动 。 对 于 涉及 网 络 的 大 量 专 有 的 硬件 、 软 件 和 \ 

用 户 接口 ,经 常 从 一 个 厂商 或 者 技术 转换 到 另 一 个 并 
非 易 事 。 通 过 OpenStack， 这 些 接口 都 被 OpenStack 服务 器 硬件 
API 抽象 化 了 ， 如 图 1-6 所 示 。 -< | a 

OpenStack 可 以 管理 多 种 类 型 的 网 络 拉 术 ( 实现 二 | | 
机 制 )， 包括 由 Arista Networks 、Cisco Nexus、Linux 虚拟 机 网 络 虚拟 机 计算 -一 | 
bridging 和 Open vSwitch ( OVS ) 等 提供 的 技术 。 在 1-6 Openstack 管理 网 络 


Openstack 
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本 书 中 ， 我 们 将 使 用 OpenStack 和 OVS 提供 的 网 络 服务 。OVS 是 OpenStack 部 署 中 名 征 选 择 的 
一 种 ， 用 户 可 以 简单 地 在 上 自己 的 环境 里 获得 和 复制 ， 不 需要 特定 硬件 环境 。 除 了 网 络 实现 机 制 ， 
还 有 很 多 被 OpenStack 支持 的 网 络 类 型 (VLAN 和 各 种 隧道 技术 等 )， 这 些 内 容 将 会 在 第 6 章 中 
详细 介绍 。 





1.3.3 OpenStack 和 存储 

OpenStack 不 是 一 个 存储 阵列 ， 至 少 应 该 不 是 你 通 稼 认为 的 存储 那 种 形式 。OpenStack 没有 
从 物理 上 提供 被 虚拟 机 使 用 的 存储 。 

如 果 你 曾经 使 用 过 文件 共享 (NFS 和 CIFS 等 )， 就 会 用 过 “基于 文件 ”的 存储 。 这 种 存储 
的 类 型 很 容易 被 人 使 用 和 被 计算 机 访问 , 但 它 通常 是 为 外 一 种 存储 类 型 的 抽象 : 块 存储 。 你 可 以 
认为 操作 系统 或 者 文件 系统 是 块 存储 的 主要 用 户 。 

还 有 另外 一 种 系统 管理 员 可 能 不 丈 悉 的 存储 类 型 : 基于 对 象 的 存储 。 这 种 类 型 的 存储 通常 是 
通过 软件 API ( 如 GET /obj=xxx ) 接口 进行 访问 。 基 于 对 象 的 存储 是 文件 或 块 存储 的 更 高 层面 的 
抽象 ,但 没有 后 两 者 的 限制 ,基于 对 象 的 存储 可 以 很 容易 地 在 多 个 参与 节点 之 间 进 行 分 布 和 复制 。 
不 像 块 存储 那样 需要 被 虚拟 机 快速 访问 , 分 布 式 的 对 象 存储 允许 更 大 的 延迟 , 将 不 能 用 作 虚 拟 机 
的 卷 〈《volume， 挂 载 到 一 个 实例 上 的 块 设备 )。 通 第 做 法 是 在 创建 时 就 指明 使 用 对 象 存储 来 存放 
卷 和 镜像 ( 包含 操作 系统 ) 的 备份 。 

下 面 首先 介绍 OpenStack 是 如 何 管理 块 存储 的 ， 然 后 介绍 对 象 存储 的 相关 内 容 。 


1， 块 存储 


OpenStack 现在 没有 为 最 终 用 户 管理 基于 文件 的 存储 。 由 图 1-7 可 以 看 出 , OpenStack 管理 块 
(虚拟 机 ) 存储 与 管理 hypervisor 和 了 网络 类 似 。 

图 1-7 从 基础 虚拟 机 资源 管理 展望 的 角度 展示 了 其 全 钢 。OpenStack 可 以 管理 很 多 厂商 提供 
的 存储 解决 方案 ， 包 括 来 自 Ceph、 戴 尔 (Dell )、EMC、 惠 普 (HP )、IBM 和 NetApp 等 厂商 的 
方案 。 与 hypervisor 和 网 络 组 件 一 样 ，OpenStack 提供 灵活 切换 存储 厂商 和 技术 的 能 力 ， 并 且 不 
需要 改变 客户 端的 配置 。 


2. 对 象 存储 


虽然 OpenStack 不 是 一 个 用 于 块 存储 ( 用 来 启动 虚拟 机 ) 的 存储 阵列 ,但 它 天 生 拥 有 提供 对 
象 存储 的 能 力 。 与 在 物理 硬件 上 运行 Linux 的 支持 版 本 不 同 ，OpenStack 提供 分 布 式 对 象 存储 集 
群 时 并 不 需要 其 他 软件 。 这 种 存储 类 型 可 以 用 来 存放 卷 备份 , 也 通常 用 来 存放 大 量 可 以 被 分 割 成 
二 进 制 对 象 的 数据 。 图 1-8 展示 了 一 个 基本 的 对 象 服 务 善 部署， 当然 这 些 都 包含 在 OpenStack 环 
境 中 。 

对 稼 存储 不 是 必须 在 同一 地 点 。 事实 上 ,市 点 (代理 市 点 和 存储 节点 ) 可 以 在 多 个 不 同 的 地 
点 ， 互 为 见 余 。 
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Openstack 






OpenStack 





存储 节点 存储 节点 存储 节点 


虚拟 机 网 络 ”虚拟 机 计算 虚拟 机 卷 
1-7 OpenStack 管理 块 ( 虚拟 机 ) 存储 1-8 OpenStack 提供 基于 对 象 的 ( AP1 ) 存储 


对 象 存储 传统 的 用 法 是 存储 那些 被 应 用 访问 的 数据 , 如 被 用 户 的 应 用 程序 使 用 的 一 个 文档 或 
文件 。 在 OpenStack 环境 中 , 对 象 存储 有 几 种 用 法 。 例 如 , 使 用 对 象 存储 作为 虚拟 机 镜像 的 仓库 。 
这 样 并 不 是 说 虚拟 机 直接 使 用 了 这 些 存储 ， 它 们 只 是 通过 这 个 存储 系统 维护 的 数据 被 提供 出 来 。 
这 样 做 是 合理 的 ， 因为 这 个 提供 过 程 不 需要 对 随机 数据 的 低 延 时 访问 。 对象 存储 还 会 用 来 备份 一 
个 现 有 的 虚拟 机 的 快照 ， 用 于 长 期 保存 备份 。 











1.3.4 OpenStack 和 云 专 业 术 语 

OpenStack 是 一 个 用 来 构建 云 的 框架 ， 可 以 构建 公有 云 和 私有 云 。 除 了 公有 云 和 私有 云 
的 定义 ， 还 有 “ 即 服 务 ” 的 云 定义 。OpenStack 是 什么 即 服 务 呢 ?OpenStack 是 多 个 即 服 务 云 
的 基础 。 

假如 你 对 为 日 己 的 企业 提供 一 个 类 似 于 AWS 供应 虚拟 机 和 存储 资源 感 兴趣 ,那么 OpenStack 
可 以 认为 是 基础 设施 即 服务 ( Infrastructure as a Service，IaaS )。 在 这 种 场景 下 ， 用 户 具 有 提供 给 
个 人 的 下 接 访 问 的 虚拟 机 ， 并 由 用 户 直 接管 理 。 虽然 构成 云 的 物理 组 件 对 用 户 是 隐藏 的 , 但 是 可 
以 直接 访问 它们 。OpenStack 的 职责 是 控制 为 最 终 用 户 提 供 基 础 设施 的 资源 。 

现在 假设 你 的 云 用 户 不 能 对 基础 设施 直接 访问 , 用 户 只 能 访问 由 OpenStack 提供 和 支持 的 应 
用 编排 功能 。 在 这 种 场景 下 ，OpenStack 可 以 认为 是 平台 即 服务 (Platform as a Service，PaaS ) 的 
后 端 提 供 者 。 底 层 的 物理 和 虚拟 基础 设施 组 件 对 用 户 是 隐藏 的 。 想 象 一 下 这 样 的 场景 ， 一 个 开发 
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状 





队 需 要 一 个 独立 的 应 用 环境 (应 用 层 部 署 在 Iaas 上 ) 来 进行 软件 测试 。 通 过 云 编排 , OpenStack 
可 以 用 来 作为 部 署 测试 平台 的 后 端 提供 者 。 

现在 假设 你 的 公司 通过 使 用 OpenStack 提供 的 基础 设施 即 服 务 ( IaaS ) 或 平台 即 服 务 ( PaaS ) 
为 客户 提供 一 种 服务 。 在 这 种 场景 下 ，OpenStack 服务 作为 软件 即 服务 ( Software as a Service， 
SaaS ) 的 后 端 组 件 。 你 可 以 看 到 ，OpenStack 可 以 用 作 云 计算 多 个 层面 的 基础 组 件 。 

现在 你 对 OpenStack 可 以 做 什么 和 如 何 做 有 了 更 深 的 理解 ， 是 时 候 介 绍 OpenStack 各 个 组 件 
是 如 何 工 作 的 了 。1.4 方 将 会 介绍 OpenStack 各 个 独立 组 件 和 它们 在 整个 框架 中 的 作用 。 





oY 万 时 kK 本 注 组 件 介 绍 


1.1 方 介 绍 了 OpenStack 基本 的 功能 ， 本 市 我 们 将 会 分 析 组 成 OpenStack 框架 的 基本 组 件 。 

表 1-1 列举 了 多 个 OpenStack 组 件 或 核心 项 目 。 虽 然 还 有 更 多 现 处 在 不 同 开 发 阶段 的 项 目 ， 
但 表 1-1 中 所 列 的 是 OpenStack 的 基本 组 件 。 最 新 的 OpenStack 服务 路 线 图 可 以 在 OpenStack 路 
线 图 网 页 (www.openstack.org/software/roadmap/ ) 中 找到 。 


表 1-1 核心 项 目 








下 个 代码 名 称 六 

i 管理 虚拟 机 资源 ， 包 括 CPU、 内 存 、 磁 盘 和 网 络 接口 
ee 提供 应 所 机 网络 接口 资源 ， 包 特 四 导 址 、 路 由 和 软件 
对 象 存储 (Object Storage) 提供 可 通过 RESTful API 访问 的 对 象 存储 
抉 存储 (Block Storage) 为 虚拟 机 提供 块 ( 传 统 磁 盘 ) 存 储 

ee | 为 OpenStack 组 件 提供 基于 角色 的 访问 控制 (RBAC)， 提 

A\ 如 

半价 汪汪 服务 “Clqdentity) 供 授权 服务 
镜像 服务 (Image Service) et 为 虚拟 机 和 快照 (备份 ) 服务 提供 
仪表 盘 (Dashboard) 为 OpenStack 提供 基于 Web 的 图 形 界面 
计量 服务 〈Telemetry) 集中 为 OpenStack 各 个 组 件 收集 计量 和 监控 数据 
编排 服务 (Orchestration ) 为 OpenStack 环境 提供 基于 模板 的 云 应 用 编排 服务 





现在 你 应 该 了 解 了 OpenStack 及 其 作用 ， 让 我 们 快速 回顾 一 下 它 的 发 展 历史 。 


oeX 万 时 kK 本 注 发 展 历 史 


2009 年 ， 美 国 总 统 奥巴马 在 上 任 的 第 一 天 就 签署 了 针对 所 有 联邦 机 构 的 备忘录 ， 引 导 他 们 
打破 横 吾 在 联邦 政府 和 联邦 政府 服务 的 人 民 之 间 的 有 关 透 明度 、 参 与 度 、 合 作 方 面 的 屏障 。 这 份 
备忘录 就 是 开放 政府 令 。 

该 法 令 签 署 120 天 后 , 美国 宇航 局 (NASA ) 宣布 它 的 开放 政府 框架 ， 其 中 包括 Nebula 工具 
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的 共享 。 开发 Nebula 是 为 了 加 快 加 美国 宇航 局 科学 家 和 人 研究 者 提供 IaaS 资源 的 速度 , 与 此 同时 ， 
云 计算 提供 商 Rackspace 宣布 开源 它 的 对 象 存储 平台 一 一 Swift。 

2010 年 7 月 ，Rackspace 和 美国 宇航 局 携手 其 他 25 家 公司 启动 了 OpenStack 项 目 。 在 过 去 5 
年 中 , 已 经 产生 了 12 个 发 行 版 本 。OpenStack 发 行 版 本 见 表 1-2。 








表 1-2 OpenStack 发 行 版 本 


名 称 日 期 
Austin 2010 年 10 月 | Nova、Swift 
Bexar 2011 刍 广 月 Nova、Glance、 
Cactus 2011 年 半月 Nova、Glance、 
Diablo 2011 年 9 月 Nova、Glance、 
Essex 2012 年 4 月 Nova、Glance、 


Folsom 2012 年 9 月 Nova、Glance、 
Grizzly 2013 年 4 月 Nova、Glance、 
Havana 2013 年 10 月 | Nova、Glance、 
Icehouse 2014 年 4 月 Nova、Glance、 


Juno 2014 年 10 月 
Sahara 


] 201 4 
Ein 0 Sahara、Ironic 


Liberty 2015 年 10 月 


Nova、 Glance、 


Nova、 Glance、 


Nova、 Glance、 
Trove、Sahara、 


Swift 
Swift 


Swift 


Swift、 
Swiftt、 
Swiftt、 
Swift、 
Swiftt、 


Swift、 


Swift、 


Horizon、 
Horizon、 
Horizon、 
Horizon、 
Horizon、 


Horlzon 、 


Horizon、 


核心 组 件 


Keystone 

Keystone、Quantum、Cinder 
Keystone、Quantum、Cinder 

Keystone、 Neutron、Cinder、Ceilometer、Heat 
Keystone、 Neutron、Cinder、Ceilometer、Heat、Trove 


Keystone、Neutron、Cinder、Cellometer、Heat、Trove、 


Keystone、Neutron、Cinder、Cellometer、Heat、Trove、 


Swift、 Horizon、Keystone、Neutron、Cinder、Ceilometer、Heat、Marconi、 
Ironic、 Searchlisht、Designate、Zagqar、DBaaS、Barbican、Manila 


OpenStack 现在 保持 6 个 月 发 行 一 个 新 版 本 的 周期 ， 与 OpenStack 峰会 举办 周期 一 致 。 该 项 
目的 参与 公司 已 经 从 过 去 的 25 家 发 展 为 现在 的 超过 200 家 ， 超 过 130 个 国家 或 地 区 的 数 千 名 用 


户 参 与 其 中 。 
c 喷 ”小 结 


图 ”基础 设施 即 服 务 ( IaaS ) 云 是 通用 资源 的 集合 ， 可 以 通过 管理 框架 协调 。 
图 ”OpenStack 是 一 个 管理 框架 , 为 最 终 用 户 的 基础 设施 服务 ( IaaS ) 和 应 用 编排 ( PaaS/SaaS ) 


提供 自助 服务 协调 。 





国 OpenStack 控制 现 有 的 商业 和 社区 技术 ， 如 Hypervisor、 存 储 系 统 、 网 络 人 硬件 和 软件 。 





OpenStack 是 由 多 个 具有 特定 目的 的 项 目 组 成 的 。 


图 ”OpenStack 每 个 项 目 都 有 一 个 相关 联 的 代码 名 称 。 
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国 ” 通 过 DevStack 来 体验 OpenStack 

图 ”为 DevStack 准备 环境 

国 ”配置 及 部 署 DevStack 

国 与 OpenStack Dashboard 交互 

加 ”理解 OpenStack 的 租户 ( 项 目 ) 模型 
图 ”用 OpenStack 创建 虚拟 机 








通过 第 1 曹 的 和 学习， 了 解 了 OpenStack 的 诸多 优点 以 及 它 如 何 适 合 云 生 态 系 统 。 现 在 你 已 经 
了 解 了 OpenStack 可 以 做 什么 ， 你 可 能 想 知 道 它 具体 是 什么 样子 的 。 对 你 的 用 户 来 说 ,使 用 它 又 
是 怎样 一 种 体验 呢 ? 本 章 会 通过 使 用 一 个 快速 部 署 OpenStack 的 工具 DevStack 来 体验 
OpenStack， 并 回答 上 述 疑 问 。 

DevStack 可 以 让 你 与 一 个 小 规模 (更 大 规模 部 署 的 代表 ) 的 OpenStack 交互 。 你 可 以 快速 部 
署 或 者 “Stack”( OpenStack 使 用 者 的 叫 法 ) 这 些 组 件 ， 来 评估 在 生产 用 例 中 的 使 用 。DevStack 
可 以 帮助 你 在 一 个 单 服务 器 环境 中 部 获 与 大 规模 多 服务 右 环 境 中 一 样 的 OpenStack 组 件 ,如 图 2-1 
所 示 。 不 需要 次 入 了 解 OpenStack, 也 不 需要 大 量 便 件 , 承 可 以 在 一 个 小 规模 范围 内 通过 DevStack 
来 体验 OpenStack。 

图 2-1 展示 了 部 署 在 任意 数量 的 市 点 上 的 一 些 组 件 ,包含 Cinder .Nova 和 Neutron。OpenStack 
使 用 代码 项 目 名 称 来 命名 各 个 组 件 ， 因 此 ,图 2-1 中 的 代码 项 目 名 称 Cinder 指 的 是 存储 组 件 ， 
Nova 指 的 是 计算 组 件 ，Neutron 指 的 是 网 络 组件 。OpenStack 组 件 、 代 码 项 目 名 称 以 及 它们 分 别 
做 什么 将 会 在 第 4 曹 中 详细 介绍 ,因此 这 里 不 用 太 纠 结 这 些 名 字 。 我 们 需要 知道 OpenStack 是 由 
多 个 核心 组 件 组 成 的 ， 这些 核心 组 件 可 以 通过 预期 的 设计 分 布 在 不 同 的 市 点 (服务 各 ) 之 间 。 与 
OpenStack 设计 相关 的 内 容 将 在 第 9 章 中 介绍 。 
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Openstack 服 务 





控制 器 
《服务 器 0) 
Neutron 
网 络 
Nova Neutron Cinder 
(服务 器 1) (服务 器 22 (服务 器 3) 





UN 


2-1 多 服务 器 OpenStack 


ee ok 是 什么 


DevStack 的 出 现 使 得 在 测试 和 开发 环境 中 部 署 OpenStack 变 得 更 加 快速 、 轻 松 和 容易 理解 。 用 
户 使 用 DevStack 可 以 轻松 地 部 办 OpenStack, 和 目 然 成 为 学 习 OpenStack 框架 最 好 的 切入 点 。DevStack 
就 是 一 堆 Bash( 命令 行 解 释 硕 )shell 脚本 , 可 以 用 来 为 OpenStack 准备 环境 ,配置 和 部 署 OpenStack。 
选择 使 用 shell 脚本 语言 来 写 DevStack 是 有 原因 的 。 因 为 脚本 语言 更 加 容易 阅读 同时 又 可 以 被 计算 
机 执行 ， 它 也 被 开发 者 作为 文档 的 来 源 。OpenStack 各 个 组 件 的 开发 者 可 以 在 组 件 原生 代码 块 之 外 
记录 这 些 依赖 ， 同 时 用 户 可 以 理解 为 什么 这 些 依赖 必须 在 工作 系统 中 被 满足 。 

尽管 OpenStack 框 染 的 规模 巨大 、 复 洒 程 度 甚 高 ,但 DevStack 让 它 看 起 来 简单 一 些 。 图 2-2 
看 起 来 似乎 过 于 简化， 但 它 却 是 DevStack 精确 的 功能 说 明 。 

使 用 者 只 需 略 懂 虚 拟 化 、 存 储 、 网 络 和 Linux 就 能 快速 得 到 一 个 可 以 正常 运行 的 OpenStack 
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单机 环境 。 在 许多 方面 ，OpenStack 为 基础 设施 所 提供 的 服务 ，DevStack 都 进行 了 人 简化 和 抽象 。 


之 前 : 


DevStack 服 务 器 
(全 新 安装 Linux) 安装 OpenStack 软 件 和 相关 依赖 


执行 Devstack 


(COO 





DevStack 服 务 器 
{OpenStack 部 署 ) 配置 OpenStack 组 件 以 协同 工作 





2-2 ”DevStack 会 自动 在 一 个 单一 节点 上 安装 和 配置 OpenStack 


但 是 ， 我 不 想 给 人 一 种 DevStack 将 用 来 在 生产 环境 中 部 署 OpenStack 的 印象 。 事 实 上 , 在 
OpenStack 圈子 中 ， 有 这 人 么 一 句 名 言 :” 不 要 让 朋友 在 生产 环境 中 运行 DevStack。” 第 5 草 一 第 8 
草 将 会 介绍 手动 部 署 OpenStack 的 内 容 。 通 过 手动 实践 ， 可 以 学 习 OpenStack 的 所 有 配置 项 和 组 
件 ， 可 以 提升 部 署 OpenStack 过 程 中 排查 问题 的 能 力 。 第 10 草 一 第 11 草 将 会 介绍 生产 环境 中 
OpenStack 的 目 动 化 部 车 (通过 目 动 化 编排 工具 )。 

在 本 章 中 ， 你 需要 准备 一 个 环境 来 用 DevStack 部 区 OpenStack。 你 不 需要 了 解 太 多 Linux、 
存储 和 网 络 知识 ， 就 能 部 署 一 个 可 以 运行 的 单 服 务 OpenStack 环境 。 利 用 该 部 署 ， 市 领 你 与 
OpenStack 进行 交互 ， 让 你 更 好 地 理解 各 个 组 件 和 整个 系统 。 然 后 ， 开 始 介绍 OpenStack 里 面 的 
租户 模型 ， 它 解释 了 OpenStack 如 何 从 逻辑 上 隔离 、 控 制 和 分 配 资源 给 不 同 项 上 日。 在 OpenStack 
术语 中 , 租户 和 项 目 是 可 以 相互 转换 的 。 最后, 会 使 用 前 面 学 到 的 知识 在 一 个 虚拟 环境 中 创建 一 
个 虚拟 机 。 

让 我 们 开始 stacking 吧 1 

















es 部 署 ek 


顾名思义 , DevStack 是 一 个 开发 工具 , 它 的 相关 OpenStack 代码 还 处 在 持续 开发 中 。DevStack 
部 署 OpenStack 环境 用 到 的 支持 包 中 的 代码 也 人 处 在 持续 开发 中 。 如 果 DevStack 正常 运行 ， 可 以 
运行 得 很 好 , 但 如 果 失 败 ， 一 切 会 变 得 很 糟糕 ， 这 让 第 一 次 使 用 的 用 户 很 困惑 。 虽然 本 草 大 部 分 
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内 容 都 是 介绍 如 何 使 用 DevStack 来 部 署 OpenStack， 但 也 无 法 确保 某 些 指令 能 在 将 来 新 版 本 的 
DevStack 和 OpenStack 中 正常 工作 。 相 同 的 DevStack 指令 也 许 在 星期 一 运行 失败 ， 却 在 星期 五 
正常 工作 。 

为 了 减少 你 的 困惑 ， 本 书 同 时 提供 了 一 个 包含 使 用 DevStack 部 署 的 OpenStack 实例 的 虚拟 
机 。 通 过 该 虚拟 机 ,可 以 通过 有 限 的 便 件 资源 和 工作 体验 OpenStack。 如 果 你 的 DevStack 不 能 
党 工作 , 那 就 可 以 使 用 这 个 虚拟 机 。 随 着 不 断 理解 整个 OpenStack 框架 , 可 以 多 次 尝试 DevStack。 





提供 的 虚拟 机 使 用 哪个 版 本 的 OpenStack 


提供 的 这 个 虚拟 机 以 及 本 书 第 一 部 分 和 第 二 部 分 的 例子 都 是 使 用 Icehouse 版 本 的 OpenStack。 
在 撰写 本 书 时 ， 尽 管 |cehouse 比 更 新 版 早 了 几 个 版 本 ， 但 它 仍 然 是 OpenStack 部 署 最 广泛 和 公认 最 
稳定 的 版 本 。 另 外 ， 有 很 多 Linux 发 行 版 和 OpenStack 生产 部 署 工 具 长 期 支持 维护 Icehouse 版 本 。 
本 书 第 三 部 分 会 介绍 几 个 生产 部 署 工 具 ， 可 以 用 来 部 署 多 个 版 本 的 OpenStack， 包 括 Icehouse 或 者 
现在 的 最 新 版 。 


如 果 使 用 本 书 提 供 的 虚拟 机 ， 可 以 查看 “提供 的 虚拟 机 的 使 用 介绍 ”部 分 的 说 明 ， 然 后 跳 到 
2:3 1s 





提供 的 虚拟 机 的 使 用 介绍 


按 下 面 的 步骤 。 
访问 http://manning.com/bumgardner/ 下 载 虚 拟 机 镜像 。 
确保 安装 了 VirtualBox ( 这 个 虚拟 机 镜像 在 4.3.30 版 本 通过 测试 )。 
解压 文件 devstack_icehouse_openstackinaction。 
双击 文件 dev_stack_icehouse_openstackinaction.vbox ( 或 者 使 用 命令 行 参数 
看 VirtualBox 详细 文档 )。 

(5) VirtualBox 启动 ， 可 以 看 到 devstack_icehouse_openstackinaction 这 个 虚拟 机 。 

(6 ) 启动 devstack icehouse _openstackinaction 这 个 虚拟 机 。 

(7 ) 在 虚拟 机 配置 里 ， 有 几 个 端口 进行 了 从 虚拟 机 到 你 的 本 地 主机 ( IP=127.0.0.1 ) 的 转发 。 这 
些 端口 包括 对 虚拟 机 进行 SSH 访问 的 2222 端口 和 对 OpenStack Dashboard 进行 访问 的 8080 端口 。 

(8 ) 虚拟 机 启动 后 ， 通 过 用 户 sysop 和 密码 u$osuser01 登录 ( 例如 ，ssh -u sysopQ@127. 
C0 

( 9 ) 登录 到 控制 台 后 ， 切 换 到 stack 用 户 : sudo -i -u stack。 

( 10 ) 执行 rejoin 脚本 : sudo /opt/devstack/rejoin-stack.sh。 

( 11 ) 现在 应 该 可 以 看 到 与 OpenStack 组 件 相关 的 screen。 要 选择 某 个 特定 的 screen， 按 下 键 
和 + 键 并 松 开 ， 然 后 按 '" 键 ( 双 引 号 键 )。 在 这 里 可 以 看 到 screen 的 列表 。 

下 面 是 访问 OpenStack 时 的 两 点 提示 。 





国史 
G2 
(oY 
(4 可 自行 查 
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国 ”如 果 想 访问 虚拟 机 并 使 用 OpenStack CLl, 可 以 按 3.1 节 的 指导 进行 , 记 住 , 这 个 OpenStack 
虚拟 机 实例 的 内 部 地 址 是 10.0.2.32。 

国 ”如 果 想 访问 虚拟 机 并 使 用 Dashboard， 可 以 利用 用 户 名 admin 和 密码 devstack 访问 地 址 
http://127.0.0.1:8080。 


你 是 Vagrant 用 户 吗 ”尽管 Vagrant 不 在 本 书 的 介绍 范围 内 ， 这 里 可 以 介绍 几 个 使 用 Vagrant 在 
VirtualBox 上 部 团 DevStack 的 社区 项 目 ， 如 devstack-vagrant ( https://github.com/ openstack-dev/ 
devstack-vagrant ) 和 vagrant_devstack (https://github.com/bcwaldon/ vagrant_devstack )。 








建议 读者 按照 下 面 的 步骤 目 行 答 试 使 用 DevStack 部 署 OpenStack。 这 个 过 程 可 以 让 你 接触 到 
这 个 框架 ， 让 你 对 OpenStack 各 个 组 件 有 基本 的 理解 。 尽 管 DevStack 用 来 快速 入 门 ， 但 它 的 文 
档 化 脚本 让 我 们 清楚 地 看 到 OpenStack 整 件 框架 是 如 何 部 署 出 来 的 , 同时 各 个 组 件 也 是 可 以 基于 
需求 进行 配置 。 甚 至 ， 还 可 以 用 DevStack 来 部 署 多 服务 器 OpenStack 环境 。 

本 曹 只 关注 把 所 有 组 件 部 署 到 同一 个 服务 硕 上 。 这 样 做 可 以 减少 配置 过 程 中 可 能 遇 到 的 问 
题 ， 因 为 没有 完全 理解 OpenStack 各 组 件 的 分 布 模型 就 分 布 式 部 署 可 能 会 遇 到 更 多 问题 ,各 组 件 
分 布 模型 将 会 在 第 3 草 介 绍 。 一 旦 理解 了 在 单一 服务 天 部 署 中 各 组 件 的 交互 方式 ， 对 多 服务 融 部 
署 的 配置 就 更 好 理解 了 。 本 书 的 第 二 部 分 将 会 介绍 手动 部 晋 ， 第 三 部 分 将 会 介绍 多 服务 需 
OpenStack 配置 的 目 动 化 部 车 。 

开始 安装 DevStack 前 , 需要 一 台 运 行 可 支持 的 Linux 发 行 版 本 的 物理 服务 融 或 者 虚拟 服务 需 。 


2.2.1 搭建 服务 器 


最 好 是 用 一 台 全 新 安装 Linux 的 服务 硕 来 进行 DevStack 的 部 署 ， 从 而 确保 完全 避免 依赖 性 
冲突 。 我 建议 使 用 Ubuntu 14.04( Trusty Tahr )， 因 为 它 是 部 团 OpenStack 时 最 广泛 文档 化 和 测试 
使 用 的 Linux 发 行 版 本 之 一 。 

本 章 出 现 的 例子 都 是 基于 Ubuntu 14.04 的 , 但 对 用 户 体 验 来 说 , 使 用 其 他 发 行 版 本 也 应 该 与 
此 类 似 。 本 昔 和 其 他 革 用 到 的 脚本 和 配置 文件 都 可 以 在 为 本 书 提供 的 源 代码 中 找到 : 
https://github.com/codybum/OpenStackInAction。 

如 果 条 件 人 允许 ， 建 议 使 用 物理 人 硬件 来 部 普 。 尺 管 在 虚拟 环境 中 “ 航 侠 ”运行 OpenStack 也 是 
可 行 的, 但 运行 在 这 个 散 套 的 OpenStack 环境 里 的 虚拟 机 会 非常 慢 。 在 这 里 ,我 们 定义 虚拟 机 是 
运行 完整 的 操作 系统 的 虚拟 硬件。 如 果 演 试用 一 个 虚拟 机 来 虚拟 化 为 一 个 虚拟 机 , 我们 就 说 这 种 
OpenStack( Hypervisor ) 是 识 套 的 。 当 然 ， 如 果 没 有 可 用 的 物理 人 硬件 ,部署 过 程 也 是 一 样 的 ， 只 
是 广 扩 的 性 能 可 能 会 有 问题 。 附 录 A 提供 了 基本 安装 Ubuntu 14.04 的 详细 指导 。 









































Linux 发 行 版 ”尽管 Ubuntu 被 广泛 使 用 ,但 Fedora 和 CentOS/RHEL 也 有 充足 的 文档 。 还 有 其 
他 Linux 可 选择 , 如 OpenSUSE 和 Debian 也 都 提供 了 OpenStack 包 , 也 可 以 用 来 部 署 OpenStack。 
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在 虚拟 机 中 部 署 OpenStack 〈 角 套 虚拟 化 ) 


Hypervisor 或 者 虚拟 机 监视 器 ( Virtual Machine Monitors，VMM ) 连接 物理 硬件 和 虚拟 机 。 
Hypervisor 模拟 物理 硬件 的 操作 ， 让 操作 系统 以 为 它 是 独占 式 访问 底层 系统 。Hypervisor 可 以 充分 利 
用 CPU 的 虚拟 化 扩展 功能 ， 介 许 将 一 些 特定 的 通常 在 软件 中 模拟 的 指令 直接 传送 到 CPU。 这 样 大 大 
提升 了 性 能 。 

OpenStack 通过 管理 Hypervisor 来 提供 虚拟 基础 设施 。 当 被 OpenStack 管理 的 Hypervisor 运行 
在 一 人 台 虚 拟 机 上 时 ，CPU 虚拟 化 扩展 功能 通常 是 不 可 用 的 。 所 有 传送 给 硬件 的 指令 都 是 经 过 软件 ( 通 
过 QEMU， 一 个 开源 的 Hypervisor ) 模拟 的 模拟 指令 。 单 纯 的 通过 软件 模拟 出 来 的 硬件 是 非常 慢 的 ， 
不 应 该 在 生产 环境 中 使 用 。 


2.2.2 ”准备 服务 器 环境 

正如 图 2-2 所 示 , DevStack 将 会 安装 和 配置 整套 OpenStack。 部 车 OpenStack 框 染 的 过 程 (无 
论 方法 是 什么 ) 称 为 Stacking。 这 个 Stacking 过 程 将 会 从 在 线 存储 库 获 取 和 配置 OpenStack 软件 
和 相关 包 的 依赖 关系 。OpenStack 依赖 关系 将 通过 Linux 发 行 版 日 囊 的 APT (Advanced Packaging 
Tool ) 工具 被 满足 。 


用 哪个 用 户 进行 操作 

现在 应 该 通过 普通 用 户 加 sudo 权限 操作 ， 而 不 是 通过 root 用 户 。 因 为 在 默认 的 Ubuntu 14.04 
上 安装 DevStack， 如 果 使 用 root 用 户 ， 会 出 现 权 限 问 题 ， 所 以 不 要 使 用 root 用 户 进行 操作 。 

一 旦 准备 好 操作 系统 环境 ， 创 建 一 个 名 为 stack 的 用 户 ， 然 后 切换 到 这 个 用 户 进行 DevStack 的 
部 署 。 本 章 使 用 的 特定 用 户 类 型 将 会 在 下 文中 解释 。 


接 下 来 将 会 使 用 sudo 并 以 root 用 户 安 全 特权 来 执行 命令 。 根 据 维基 百科 的 介绍 ，sudo 
包含 “su”( substitute user， 代 蔡 用 户 ) 和 “do”。sudo 命令 可 以 执行 一 些 root 用 户 才 有 权限 执 
行 的 命令 。 安 装 操作 系统 时 创建 的 用 户 有 相应 的 权限 。 

在 下 面 的 例子 中 使 用 sysop 作为 有 sudo 特权 的 普通 用 户 。 第 一 次 使 用 suqdo 命令 时 会 提示 
输入 密码 ,不 用 困惑 ， 就 是 这 个 普通 用 户 的 密码 。 在 后 续 执行 sudo 命令 时 ， 只 要 不 超过 超时 范 
图 ( Ubuntu 14.04 是 15 分 钟 )， 怠 不 会 再 次 提示 输入 密码 。 

APT 会 在 本 地 维护 判断 包 可 用 性 和 依赖 性 的 数据 库 ， 因 此 ， 到 安装 Linux 发 行 版 的 时 候 ， 这 
些 数据 已 经 过 时 。 准 备 环 境 的 第 一 步 就 是 从 在 线 源 更 新 APT 包 信 息 。 根 据 shell 提示 符 ， 像 代码 清 
单 2-1 所 示 那 样 更 新 APT 包 。 这 个 过 程 不 会 更 新 任何 包 ， 但 更 新 后 安装 的 包 将 会 是 最 新 的 版 本 。 

















代码 清单 2-1 更 新 包 





sysopQdevstack:~$ sudo apt-get -y update ee 
[sudo] password for sysop: 更 新 本 地 包 信 息 


Hit http://us.archive.ubuntu.com precise Release.gpg 
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Fetched 3,933 kB in 1s (2,143 kB/s) 


Reading package lists... Done 


你 的 本 地 包 数 据 库 已 经 更 新 , 因为 通过 第 一 行 命令 , 本 地 的 包 信 息 与 在 线 源 最 新 数据 实现 了 
同步 。 更 新 之 后 ， 建 议 如 代码 清单 2-2 所 示 ， 升 级 包 到 最 新 版 本 。 





代码 清单 2-2 ”升级 包 
sudo apt-get ~y upgrade 
从 DevStack 组 件 的 角度 看 , 该 升级 步骤 不 是 必需 的 , 但 DevStack 的 某 些 依赖 需要 内 核 更 新 ， 
因此 ， 某 些 软 件 升 级 和 重启 是 少不了 的 。 如 末 执 行 TU 那 束 最 好 在 升级 后 午 局 系统 。 





DevStack 不 会 使 用 APT 系统 来 安装 OpenStack 组 件 , 尽管 这 些 软件 安装 包 都 在 软件 仓库 里 。 
这 样 做 是 为 了 组 件 在 开发 和 测试 系统 中 的 灵活 性 。 人 你 可 以 安装 多 个 OpenStack 组 件 的 
稳定 发 行 厂 本 ,同时 安装 某 些 组 件 的 开发 分 文 版 本 。 这 种 水 平 的 模块 化 不 太 可 能 通过 包 管 理 系统 
来 实现 。 

DevStack 不 是 通过 Linux 发 行 版 提供 的 包 管 理 系 统 , 而 是 直接 通过 OpenStack 在 线 软 件 仓库 
获取 OpenStack rs Git， 一 个 源 代 码 版 本 控制 软件 ， 用 来 从 OpenStack 软件 仓库 获取 源 代码 。 
因此 ， 下 装 Git 客户 端 ， 如 代码 清单 2-3 所 示 。Git 客户 端 将 会 用 来 获得 DevStack 脚本 
和 随后 通过 DevStack 获得 OpenStack 组 件 。 


代码 清单 2-3 ”安装 Git 
sysopldevstack:~$ sudo apt-get ~y install git i 
Reading package lists... Done 
Building dependency tree 
Reading state information... Done 
The following extra packages will be installed: 
git-man liberror-perl 
Suggested Packades : 
git-daemon-run git-daemon-sysvinit git-doc git-el git-arch 
git-cvs git-svn git-email git-gui gitk gitweb 
The following NEW packages will be installed: 
git git-man liberror-perl 


0 upgraded, 3 newly installed, 0 to remove and 112 not upgraded. 


Unpacking git (from .../dit 1%3al.7.9.5-1 amd64.deb) ... 
Processing triggers for man-db ... 

Setting up liberror-perl (0.17-1) ... 

Setting up git-man (1:1.7.9.5-1) ... 

Setting up git (1:1.7.9.5-1) ... 


现在 已 经 安装 好 Git 客户 问 ， 可 以 开始 获取 DevStack 脚本 了 。 





2.2.3 准备 DevStack 
下 面 的 例子 描述 了 如 何 使 用 最 新 版 本 的 DevStack 和 OpenStack 来 进行 部 署 。 如 前 面 所 提 到 


2.2 部署 DevStack 23 


的 ,没有 人 能 确保 将 来 DevStack 的 最 新 代码 能 正常 部 署 OpenStack 的 最 新 版 本 。 如 果 在 DevStack 
部 署 过 程 中 遇 到 问题 ， 可 以 使 用 本 书 提 供 的 虚拟 机 。 你 可 以 稍 后 再 尝试 目 己 部 署 DevStack。 
使 用 Git， 获 取 最 新 版 本 的 DevStack， 如 代码 清单 2-4 所 示 。 


代码 清单 2-4 获取 DevStack 脚本 





sysop@devstack:~$ sudo git clone \ 
https://github.com/openstack-dev/devstack.git \ 
/opt/devstack/ 

Cloning into '/opt/devstack'... 

remote: Counting objects: 28734, done. 

remote: Total 28734 (delta 0), reused 0 (delta 0), pack-reused 28734 

Receiving objects: 100% (28734/28734), 9.86 MiB | 5.29 MiB/s, done. 


Resolving deltas: 100% (19949/19949), done. 
> 交合 ~ 
Checking connectivity... done. 从 当前 分 支 获取 DevStack 


想 用 某 个 特定 分 支 的 DevStack 在 Git 中 ,通过 -b <branch name> 人 参数 来 指定 DevStack 的 分 支 。 
当前 DevStack 的 分 支 列表 可 以 在 GitHub 中 查看 (https://github.conmyopenstack-dev/devstack/branches )。 





现在 应 该 在 /opt/devstack/ 目 录 下 有 一 份 DevStack 脚本 的 副本 。 


不 要 用 root 用 户 来 Stack 如 果 现 在 以 root 用 户 来 运行 DevStack, 将 会 出 现 错误 和 提示 不 要 用 root 
用 户 来 运行 脚本 。 通常 人们 只 想 以 root 用 户 或 者 提升 到 root 权限 来 运行 。 有 人 可 能 认为 在 开发 环 
境 中 使 用 root 用 户 没 有 什么 风险 ， 但 又 想 “ 把 练习 用 在 生产 中 ”， 因 此 最 好 是 让 开发 尽 可 能 接近 
生产 环境 。 无 论 如 何 ，DevStack 不 允许 使 用 root 用 户 进 行 Stack， 因 此 要 准备 男 一 个 用 户 环境 来 
Stack。 


下 一 步 是 为 OpenStack 设置 正确 的 目录 权限 和 创建 一 个 新 的 服务 账号 (所 有 服务 都 在 该 账号 
下 运行 )， 如 代码 清单 2-5 所 示 。 这 一 过 程 将 会 创建 stack 用 户 并 设置 所 有 DevStack 文件 从 属于 
这 个 用 户 O 





代码 清单 2-5 ”准备 DevStack 目录 


进入 devstack 目录 


sysop@devstack:~$ cd /opt/devstack/ 


sysop@devstack:/opt/devstack$ sudo \ 使 create-stack-user.sh 
chmod ut+x tools/create-stack-user.sh 工具 可 执行 
sysop@devstack:/opt/devstack$ sudo \ 他 
| 建 stack 用 户 


tools/create-stack-user.sh 
Creating a group called stack 
Creating a user called stack 
Giving stack user passwordless sudo privileges 
sysopQ@devstack:/opt/devstack$ sudo \ 使 stack 用 户 拥 有 目录 中 
chown -R stack:stack /opt/devstack/ 的 所 有 文件 
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目录 已 经 设置 好 正确 的 权限 , 新 用 户 也 已 经 创建 好 了 。 下 一 步 是 切换 到 刚 创建 的 stack 账户 ， 
创建 DevStack 的 配置 文件 ， 然 后 就 可 以 以 这 个 配置 文件 stack (部署) 了 。 


2.2.4 执行 DevStack 

DevStack 被 设计 用 来 部 署 和 测试 OpenStack 组 件 ， 因 此 有 多 种 可 行 的 配置 方式 。DevStack 
是 通过 维护 local.conf 文件 中 的 配置 参数 来 进行 控制 的 。 现 在 必须 在 devstack 目录 下 创建 一 个 名 
为 local.conf 的 配置 文件 。 

在 接 下 来 的 安装 中 ， 需 切换 到 stack 用 户 ， 如 代码 清单 2-6 所 示 。 


代码 清单 2-6 ”切换 到 stack 用 户 


sysopQ@devstack:/opt/devstack$ sudo \ 
切换 到 stack 用 户 





-i —u stack 
stack@devstack:~$ cd /opt/devstack/ 


到 这 里 ,应 该 是 在 /opt/devstack 目录 下 面 ， 而 且 是 以 stack 用 户 操作 。 在 前 面 的 步骤 中 , 已 经 
指定 目录 的 所 属 用 户 为 stack 用 户 ， 那 就 应 该 不 会 出 现 与 目录 权限 相关 的 问题 了 。 








现在 是 以 什么 用 户 操作 的 ”无 论 之 前 是 以 什么 用 户 开 始 的 ， 现 在 应 该 使 用 stack 用 户 。 从 这 里 开 
始 ， 无 论 是 注销 还 是 重启 〈 本 闻 更 多 是 重启 )， 都 应 该 以 stack 用 户 身 份 操作 ， 因 为 DevStack 不 
能 以 root 用户 和 运行。 如 果 想 要 切换 到 stack 用 户 ， 可 以 参考 代码 清单 2-6 的 指导 。 








想 要 使 用 stack 用 户 ， 需 创建 local.conf 文件 ， 下面 会 使 用 常用 的 基于 控制 台 的 文本 编辑 适 
Vim 来 展示 文件 的 创建 过 程 。 由 于 OpenStack 的 配置 文件 和 日 志文 件 的 数量 众多 ， 因 此 推荐 使 用 
自己 喜欢 的 文本 编辑 需 。 











找到 一 个 合适 的 文本 编辑 器 

我 不 会 夸大 文本 编辑 器 让 你 高 效 工 作 的 重要 性 。 你 可 以 配置 OpenStack 来 做 几乎 所 有 事情 , 但 同 
时 也 带 来 了 配置 的 责任 。 选 择 一 个 文本 编辑 器 就 像 为 长 途 跋涉 选择 一 双 鞋 子 一 样 。 如 果 从 旅途 一 开始 
就 受伤 ， 那 将 会 很 痛苦 ， 如 果 很 舒服 ， 就 察 芝 不 到 辛苦 。 

Stack Overflow 上 有 一 篇 关于 Linux 文本 编辑 器 的 文章 : http://stackoverflow.com/questions/2898/ 


text—editor—for—liNnux—besides—vio 


1. 配置 DevStack 项 


本 节 会 创建 DevStack 用 来 配置 部 署 的 local.conf 文件 。 使 用 喜欢 的 文本 编辑 信 ， 像 代码 清 
单 2-7 一 样 打开 local.conf 文件 。 
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代码 清单 2-7 创建 local.conf 
sysop@devstack:/opt/devstack$ vim local.conf 一 一 ~ 使 用 Vim 编辑 local.conf 文件 


进入 文本 编辑 需 后 ， 复 制 代 码 清单 2-8 中 的 内 容 到 文件 local.conf。localconf 中 的 配置 项 是 
特定 为 DevStack 配置 的 ， 熟 悉 一 下 没 问题 ， 但 不 要 在 生产 环境 中 直接 使 用 。 


代码 清单 2-8 ”local.conf 文件 








LTDoeall Llosaleel] 二 一 local.conf 文件 头 部 使 用 [ [<phase> 
| <config-file-name>] ] 格 式 

# Credentials 

ADMIN_PASSWORD=devstack US 

MYSOL_PASSWORD=devstack 为 每 个 文 持 服务 设置 密码 ， 

RABBIT_PASSWORD=devstack 并 开启 token 和 密码 服务 


SERVICE_ PASSWORD=devstack 
SERVICE TOKEN=token 


#Enable/Disable Services ee 禁用 Nova 网 络 ( n-net ), 用 
disable service n-net Neutron 网 络 服务 取代 


enable_service d-svc 
enable_service qdq-agt 
enable_service qdq-dhcp 
enable_service qd-13 
enable_service dq-meta 
enable service neutron 


enable_service tempest 

HOST Tp=10 .0.32 =< 运行 DevStack 的 主机 的 IP 地 址 ， 可 改 
变 为 特定 的 全 地址 

#NEUTRON CONFIG 

#0Q_USE_DEBUG COMMAND=True 


#CINDER CONFIG 
VOLUME BACKING_FILE SIZE=102400M 二 在 DevStack 中 用 于 存储 容量 的 默认 文 
件 ， 这 一 行 增 加 了 总 的 总 量 大 小 





#GENERAL CONFIG 
API_RATE_ LIMIT=False 


# Output 站 ee a 
LOGFILE=/opt/stack/logs/stack.sh.1log 合并 日 志 并 设置 日 忘 几 余 
VERBOSE=True 

LOG COLOR=False 

SCREEN_LOGDIR=/opt/stack/logs 





检查 目录 确保 创建 的 local.conf 文件 在 devstack 目录 下 。 


想 在 DevStack 里 使 用 OpenStack 的 特定 版 本 


可 以 在 local.conf 文件 里 指定 DevStack 使 用 的 每 个 组 件 的 OpenStack 版 本 和 分 支 。 例 如 ,为 Nova 
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指定 OpenStack 的 分 支 ， 在 local.conf 文件 里 应 该 包含 NOVA_BRANCH=<nova branch>。 
当前 的 OpenStack Nova 分 支 可 以 在 https://github.com/openstack/nova/branches 中 找到 。 


2. 运行 Stack 

现在 可 以 开始 运行 DevStack 的 构建 脚本 stack.sh 了 。 这 个 脚本 首先 读 取 local.conf 中 的 配置 ， 
然后 根据 这 些 配置 来 部 署 OpenStack 的 组 件 。 由 于 DevStack 服务 右 和 网 络 连接 的 速度 的 因 了 对 ， 
这 个 stack 过 程 可 能 会 要 花费 不 少时 间 。 在 一 台 有 展 好 网 络 连 接 的 融 效 服务 兹 上 , 这 个 stack 过 程 
大 约 要 花费 15 min。 

如 代码 清单 2-9 所 示 执 行 stack.sh。 





代码 清单 2-9 ”执行 stack 脚本 


./stack.sh 








执行 stack 脚本 


无 论 stack 过 程 有 没有 出 现 问题 ， 都 会 有 数 千 行 的 屏幕 输出 。 如 果 成 功 执行 stack.sh， 最 后 一 
行 会 显示 “stack.sh completed in <second count> seconds”， 表 不 这 个 过 程 消耗 的 时 间 。 


我 的 stack 过 程 没有 完成 ”不 要 慌张 ! 造成 DevStack 过 程 失败 的 原因 有 很 多 , 包括 更 新 软件 包 信 
总 后 没 重 局 ， 或 者 配置 不 正确 。 失 败 后 ， 首 先 检查 local.conf 里 面 的 配置 ， 确 保 没有 错误 ， 然 后 
按照 代码 清单 2-14 说 明 季 载 再 重新 来 一 遍 。 很 多 问题 都 可 以 通过 各 载 重新 开始 来 解决 。 





即使 所 有 步骤 都 正常 ， 也 很 难 在 这 个 stack 过 程 中 去 跟踪 屏幕 的 输出 。 可 以 在 local.conf 中 
设置 日 志文 件 的 保存 路 径 /optstaclylogs。 这 个 目录 中 保存 春 针对 每 个 组 件 整个 过 程 捕获 的 屏 攻 
输出 的 详细 日 志 。 还 好 ， 也 提供 了 一 个 只 显示 关键 步骤 的 总 结 日 志文 件 ( stack.sh.log.summary )。 
利用 代码 清单 2-8 中 的 local.conf 里 面 的 配置 进行 的 stack 过 程 的 总 结 日 志 ， 如 代码 清单 2-10 
所 示 。 





代码 清单 2-10” stack 总 结 日 志 


Installing package prerequisites 


Installing OpenStack project source 
Installing Tempest 

Starting RabbitMO 

Configuring and starting MySQL 
Enabling MySQL query logging 
Starting Keystone 

Configuring and starting Horizon 
Configuring Glance 

Configuring Neutron 

Configuring Cinder 

Configuring Nova 

Starting Glance 


Uploading images 
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Starting Nova API 

Starting Neutron 

Creating initial neutron network elements 
Starting Nova 

Starting Cinder 

Configuring Heat 

Starting Heat 

Initializing Tempest 


stack.sh completed in 565 seconds. 


DevStack 组 件 没有 作为 Linux 服务 运行 ”DevStack 不 会 像 Linux 服务 那样 运行 OpenStack 服务 ， 
这 些 服务 都 是 通过 screen 软件 来 运行 。 成 功 运 行 stack.sh 后 ， 如 果 你 想 重启 某 个 OpenStack 服务 ， 
可 以 通过 screen -访问 Screen 控制 合 。 要 重 尼 Nova network 服务 ， 进 入 Nova network 服务 
的 Screen, 这 里 是 Screen 9, 可 以 通过 使 用 组 合 键 , 然后 按 9 进入 。 然 后 用 组 合 键 关 闭 Nova network 
服务 ， 再 通过 “向 上 ”箭头 键 和 回 车 键 来 重 尼 服务 。 


3.， 测试 stack 


这 呼 吸 放 松 一 下 。 如 采 所 有 步 又 正 汕 ,通过 动 动 几 下 手指 ,现在 就 有 一 个 部 署 好 的 具备 完整 
功能 的 OpenStack 了 。 是 不 是 很 想 跳 过 测试 步 又， 等 等 ! 在 系统 内 部 ， 跳 过 测试 是 不 被 驶 励 的 ， 
往往 会 有 东 些 地 方 出 错 。 














现在 认真 读 读 这 里 ”完成 stack 之 后 ， 已 经 部 署 了 上 百 个 互相 交互 的 组 件 、 一 棵 庞大 的 依赖 树 和 
一 个 集成 这 些 组件 的 网 页 服务 。 从 工程 角度 看 ， 计 算 机 所 做 的 事情 令 人 赞 以 (以 动态 随机 存 取 存 
储 器 〈Dynamic Random-Access Memory，DRAM ) 为 例 )， 很 少 有 单 全 计算 机 可 以 运行 一 个 完整 
编排 的 云 平台 。 坚 持 一 下 ， 和 潜在 的 问题 进行 “战斗 "， 顺 利通 过 测试 环节 ， 你 会 发 现 这 样 做 是 
值得 的 。 


好 消 朋 是 测试 只 和 需要 少量 突 外 的 配置 , 坏 消 垦 是 整个 测试 过 程 会 花费 不 少时 间 。 测试 包含 两 
个 测试 套件 : DevStack exercises 和 OpenStack Tempest。 

DevStack exercises， 正 如 其 名 所 示 ， 特 定 针 对 DevStack， 在 DevStack 的 早期 版 本 就 包含 它 
了 。 这 个 exercises 是 设计 用 来 在 整个 stack 过 程 完成 后 测试 DevStack 环境 的 , 提供 了 对 一 些 主要 
功能 的 测试 。 

与 DevStack exercises 不 同 ，OpenStack Tempest 是 一 个 用 来 “折磨 ”OpenStack 环境 的 庞 然 大 
物 。Tempest 可 以 运行 在 单一 服务 需 的 DevStack 部 署 中 或 者 1000 节点 的 云 环境 。 接 下 来 将 会 天 
注 如 何 通过 DevStack exercises 测试 ， 然 后 进行 一 些 基 本 的 Tempests 测试 











用 DevStack exercises 检查 和 用 Tempest 进行 验证 ”对 于 DevStack 部 署 来 说 ， 用 DevStack 
exercises 检查 OpenStack 核心 服务 已 经 足够 了 。 但 实际 上 ,由 于 单 服务 器 部 署 的 限制 ,即使 exercises 
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测试 通过 了 ，Tempest 验证 也 可 能 会 失败 (Tempest 不 能 在 单 节点 上 测试 多 节点 操作 )。 在 生产 部 
署 中 ，Tempest 是 强 有 力 的 验证 工具 。 


继续 下 一 步 ， 按 代码 清单 2-11 所 示 执 行 devstack 目录 中 的 exercise 套件 。 


代码 清单 2-11 运行 DevStack exercises 





stack@devstack:/opt/devstack$ ./exercise.sh 


<lots of screen output> 


大 大 天 尖 沁 大 站 光 天 天 光大 
SUCCESS: End DevStack Exercise: 
大 大 大 大 大 大 大 大 大 大 大 大 大 大 大 大 大 大 大 大 大 大 大 大 大 大 大 大 大 大 大 大 大 大 大 大 大 大 大 大 大 大 大 大 大 大 大 大 大 大 大 大 大 大 大 大 大 大 大 大 大 大 大 大 大 大 类 类 大 


SKIP marconi 

SKIP sahara 

SKIP swift 

SKIP trove 

PASS aggregates 

PASS boot_from volume 
PASS bundle 

PASS client-args 

PASS euca 

PASS floating_ips 
PASS horizon 

PASS neutron-~-adv-test 
PASS Sec_ groups 

PASS volumes 

FAILED client-env 


如 果 孝 运 的 话 , 除了 client-env， 所 有 exercise 运行 在 你 系统 上 的 测试 都 会 通过 。 因 为 没有 配 
置 shell 的 环境 变量 ， 所 以 client-env 测试 当然 会 失败 ,但 这 没有 问题 。 在 第 3 章 之 前 ,你 将 不 会 
用 到 命令 行 。 

如 采 菏 个 测试 失败 了 了， 可 以 在 devstack/exercises 目录 中 上 由 次 运行 这 个 测试 。 如 采 还 是 失败 ， 
按照 代码 清单 2-14 所 示 的 过 程 ， 在 本 节 开 头 部 分 开始 重复 DevStack 执行 过 程 。 

如 果 所 有 的 exercises 测试 都 通过 了 ， 可 以 选择 运行 Tempest 测试 套件 。Tempest 项 目 主页 是 

这 样 描述 的 : Tempest 最 初 的 设计 出 发 点 主要 是 用 来 测试 完整 的 OpenStack 部 署 。 由 于 这 个 因素 ， 

在 DevStack 环境 下 运行 Tempest 可 能 会 出 现 菜 些 问题 。 事 实 上 ， 不 必要 运行 完整 的 测试 套件 ， 
运行 某 些 单独 的 测试 即 可 ， 如 代码 清单 2-12 所 示 。 








代码 清单 2-12 ”运行 单个 OpenStack Tempest 测试 





cd /opt/stack/tempest 


nosetests tempest/scenario/test_ network basic ops.py 
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Ran 2 tests in 247.376s 


OK 


完整 的 Tempest 套件 包含 数 干 个 测试 ,在 虚拟 机 或 者 比较 慢 的 机 大 上 运行 需要 很 多 时 间 (在 
高 效 的 服务 需 上 都 要 20 分 钟 )。 代 码 清 单 2-13 展示 了 如 何 运 行 完 整 的 Tempest 测试 。 记 住 ， 在 
DevStack 环境 下 ， 出 现 一 些 失败 是 不 可 避免 的 。 在 本 例 中 ， 在 OpenStack 的 单 服务 硕 DevStack 
部 署 中 ， 尽 管 已 经 通过 了 exercises 测试 ， 但 仍 有 大 约 8% 的 Tempest 测试 会 失败 。 








代码 清单 2-13 ”运行 完整 的 OpenStack Tempest 套件 





devstack@devstack:~/devstack$ /opt/stack/tempest/run tempest.sh 
No virtual environment found...create one? (Y/n) Y 
Creating venv... done. 
Installing dependencies with pip (this can take a while)... 
Downloading/unpacking pip>=1.4 

Downloading pip-1.5.2.tar.gz (1.1Mb): 1.1Mb downloaded 


<loads of screen output> 


setUpClass (tempest.api.compute.admin.test_ fixed ips_ negative 
FixedIPsNegativeTestXml) 
SKIP 0.00 
FixedIPsNegativeTestJson) 
SKIP 0.00 
tempest.api.compute.admin.test availability_ zone.AZAdminTestXML 
test_get availability_ zone listlgatel 
OK 1.93 
test_get availability_ zone _ list detaillgatel] 
OK 1.07 
test_get availability_ zone _ list with non admin userlgatel] 
OK 1.94 


<loads of screen output> 


Ran 2376 tests in 1756.624s 
FAILED (failures=19) 


到 这 里 你 应 该 适应 了 stack 和 测试 过 程 。 

如 果 遇 到 任何 问题 或 者 想 要 体验 DevStack 的 不 同 配 置 ， 都 可 以 重新 开启 这 个 过 程 而 不 用 重新 
加 载 操作 系统 。 人 步 ， 如 果 想 要 重新 开始 ， 可 以 按照 代码 清单 2-14 中 给 出 的 步骤 进 
行 stack 和 unstack( 旬 载 )。 这 个 过 程 将 会 回 退 到 “运行 stack” 小 市 之 前 ， 即 代码 清单 2-9 之 前 。 








代码 清单 2-14 unstack 和 stack 





./unstack.sh 
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./clean.sh 
sudo rm -rf /opt/stack 


sudo reboot 


4. stack 小 结 


DevStack 是 用 来 开发 和 测试 的 , 我 们 当然 想 要 一 个 配置 一 致 的 演示 环境 。 也 就 是 说 , 开发 者 
测试 某 个 特定 的 功能 时 ， 他 们 不 希望 为 每 个 stack 手动 创建 样本 用 户 环 境 。 

正如 第 1 划 所 提 到 的 ，OpenStack 是 通过 租户 或 者 项 目 来 隔离 资源 的 。OpenStack 允许 在 同 
一 个 部 署 的 环境 里 面 有 多 个 租户 〈 人 参考 酒店 或 者 公寓 )。 多 租户 意味 着 有 多 个 用 户 、 部 门 ， 或 者 
甚至 是 组 织 分 享 相同 的 OpenStack 环境 ， 而 不 影响 各 目的 配置 。OpenStack 租户 模型 将 会 在 第 3 
划 中 深入 介绍 , 现在 只 需要 知道 DevStack 会 为 我 们 创建 样本 租户 /项 目 、 角 色 和 用 户 账号 。admin 
账号 ， 如 名 字 所 示 ， 拥 有 这 个 新 部 署 的 OpenStack 的 管理 员 访 问 权 限 。demo 账号 拥有 可 以 访问 
Demo 项 目的 普通 OpenStack 用 户 权 限 。 这 两 个 账号 都 使 用 默认 密码 devstack。 

现在 已 经 通过 DevStack 在 一 个 单个 服务 需 上 部 署 了 OpenStack 组 件 。 这 个 单 节 点 OpenStack 
环境 除了 可 以 用 来 体验 OpenStack 服务 之 外 ， 还 可 以 将 该 部 署 作为 本 书 第 二 部 分 手动 部 署 
OpenStack 组 件 时 的 一 个 参考 。 现 在 你 可 以 同 前 一 步 ， 开 始 与 OpenStack 进行 交互 。 


















































重启 DevStack 


因为 DevStack 不 是 专门 为 生产 环境 设计 的 ， 所 以 类 似 重 启 后 服务 自动 启动 这 些 功能 是 没有 的 。 
如 果 重 局 了 系统 ， 然 后 还 想 继 续 重 局 之 前 的 配置 ， 必 须 通过 些 手动 步骤 来 实现 。 

当 stack.sh 脚本 运行 后 ， 在 stack 过 程 中 ， 会 生成 一 个 包含 启动 各 个 服务 命令 的 stack-screenrc 
文件 。 系 统 重启 后 ， 需 要 运行 rejoin-stack.sh 脚本 。 这 个 脚本 会 谈 取 stack-screenrc 文件 的 内 容 ， 
然后 重启 这 些 服务 。 

因为 使 用 Cinder 来 对 存储 卷 ( 块 存储 ) 进行 管理 , 所 以 也 必须 通过 losetup 命令 来 设置 环 回 卷 。 
在 与 ./stack.sh 文件 相同 的 目录 下 执行 下 面 的 命令 。 


sudo losetup -f /opt/stack/data/stack-volumes-backing-file 
/opt/devstack/rejoin-stack.sh & 


人 使 用 如 是 本 AD 


与 OpenStack 交互 主要 有 以 下 3 种 方式 : 

国 ”OpenStack Dashboard 基于 网 页 的 图 形 用 户 界 面 (GUI )， 在 本 市 介绍 ; 
国 ” OpenStack CLI 一 一 组 件 专用 的 命令 行 接口 ， 将 在 第 3 章 介绍 ; 

图 ”OpenStack API 一 一 RESTful ( Web ) 服务 ， 将 在 第 3 章 简 要 介绍 。 

无 论 使 用 哪 种 方式 ， 所 有 交互 最 后 还 是 会 回 到 openStack APIs。 
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对 大 多 数 人 来 说 , 第 一 次 动手 与 OpenStack 交互 和 那 是 通过 

















Dashboard。 事 实 上 ， 绝 大 部 分 终端 用 户 只 会 使 用 Dashboard ， 
此 这 里 会 介绍 访问 Dashboard 的 方法 。 系 统管 理 员 和 程序 员 天 
需要 理解 如 何 访问 CLI 和 APIs， 将 会 在 第 3 章 介绍 。 ee 
通过 在 浏览 器 中 输入 httpW//< 你 的 主机 四 地 址 > 来 访问 om 
Dashboard。 随 后 会 出 来 一 个 图 2-3 所 示 的 登录 界面 , 使 用 下 ， ，。 
面 的 用 户 名 和 密码 : dom 
图 用 户 名 demo; pr 
图 和 窗 码 devstack。 
demo 用 户 代 表 非 特权 用 户 。 如 有 果 没 有 看 到 登录 界面 ， 可 
能 在 stack 过 程 中 出 现 一 个 错误 , 那 就 要 复习 一 下 2.2.4 市 的 内 
容 了 。 2-3 Dashboard 登录 界面 
检查 疹 口 


可 以 通过 登录 到 运行 这 些 服 务 的 服务 器 上 检查 服务 的 端口 是 否 正 常 监听 连接 来 排查 问题 ， 这 样 可 
以 大 大 节省 基于 套 接 字 ( socket ) 服务 ( 如 HTTP、SSH 等 ) 的 故障 排查 时 间 。 

cur| 是 一 个 广泛 用 于 检查 靖 口 是 否 正 常 监听 的 工具 。 检查 IP 地 址 10.0.2.32 的 80 端口 ( HTTP 站 
口 ) 是 否 正 常 监听 网 页 请 求 ， 可 以 执行 命令 curl 10 .0.2.32:80。 如 果 这 个 靖 口 监听 正常 ， 正 常情 
况 下 发 送 给 浏览 器 的 输出 将 返回 到 控制 台 。 

现代 浏览 器 经 常 禁 止 不 正常 的 数据 ， 因 此 从 浏览 器 上 看 不 到 导致 服务 器 失败 的 某 些 特定 错误 。 如 
果 连 接 被 拒绝 ， 就 知道 ( 假设 本 地 防火 墙 没 有 问题 ) 运行 在 那个 新 口 的 服务 没有 启动 。 如 果 监 听 那 个 


端口 的 服务 没 启动 ， 就 应 该 检查 这 个 服务 的 日 志 。 


Dashboard 是 两 列 的 布局 ， 如 图 2-4 所 示 。 左 边 的 列 是 固定 尺寸 的 ， 右边 的 列 的 尺寸 会 随 关 
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2-4 Overview 界面 
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浏览 磊 和 窗口 大 小 而 动态 改变 。 可 以 看 到 左边 的 列 包 含 “Project” 标 签 、 到 其 他 管理 界面 的 链接 、 
项 目 选 择 下 拉 框 和 “Admin” 标 签 ( 如 果 你 是 管理 员 )。 登 录 后 将 会 直接 看 到 “Overview” 界 面 ， 
如 图 2 有 O “Overview” 界面 和 其 他 界面 将 在 下 文中 介绍 。 





我 的 Dashboard 不 像 这 样 显示 如果 使 用 本 书 提供 的 虚拟 机 ，Dashboard 应 该 看 起 来 和 图 2-4 一 
样 。 但 是 ,如果 自己 安 效 DevStack， 将 会 使 用 最 新 版 本 的 OpenStack， 可 能 会 有 某 些 细微 的 差别 。 
尽管 显示 有 差别 ， 但 下 面 儿 章 中 的 例子 应 该 都 能 正常 工作 。 


2.3.1 Overview 界面 


Overview 界面 显示 了 这 个 用 户 当 前 项 目 配 额 的 使 用 情况 。 一 个 下 openstack 
用 户 可 以 关联 多 个 项 目 , 这 些 项 目 可 以 有 不 同 的 配额 图 2-5 所 示 的 














7? < 、 VI se Proj 
“Management” 工 具 栏 展示 了 用 户 在 当前 项 目 可 用 的 管理 界面 。 Re 
“Management” 界 面 分 为 几 个 部 分 ， 包 括 “Manage Compute”、 ae 
“Manage Network 、 “Manage Object Store” 和 “Manage Orchestration” 。 | a 


每 个 部 分 的 标签 包含 在 管理 工具 栏 中 。 对 和 象 存 储 和 编排 的 标题 和 界 
面 没 展示 出 来 或 者 在 本 节 没 有 提 及 ， 这 些 内 容 将 会 在 本 书 第 三 部 分 
介绍 。 尽 管 对 象 存储 非常 有 用 ,但 与 创建 虚拟 机 没有 直接 关系 。 编 ee 
排 是 指 目 动 地 结合 虚拟 人 硬件 和 软件 来 部 署 应 用 ， 是 一 个 非常 有 趣 的 Images 
主题 。 云 编排 非常 重要 ， 将 会 用 整个 第 12 草 来 介绍 。 RO 
为 了 登录 Dashboard， 必 须 在 一 个 存在 的 项 目 中 拥有 一 种 角色 。 
当 登 录 Dashboard 时 , 会 选择 一 个 你 拥有 的 项 目 , 任何 项 目 级 别 的 配 
置 都 是 与 这 个 项 目 相 关 。 当 前 选择 的 项 目 可 以 通过 顶部 工具 栏 左 侧 
的 下 拉 荣 单 显 示 出 来 。DevStack 会 创建 两 个 项 目 : demo 和 2-5 管理 工具 栏 
invisible_to_admin。 可 以 通过 单 击 项 目下 拉 沫 单 随意 切换 项 目 。 
下 面 探 究 一 下 将 会 用 来 管理 云 资 源 的 管理 标签 。 目 然而 然 地 就 会 进入 实例 界面 , 这 里 可 以 看 
到 新 创建 的 虚拟 机 ( 实例 )。 尽 管 这 个 虚拟 机 (〈 实 例 ) 界面 各 种 功能 很 多 ,但 还 是 从 少量 基本 的 
功能 开始 吧 。 让 我 们 从 “Access & Security” 界 面 开 始 ， 然 后 逐步 提升 。 

















Network 


Orchestration 




















虚拟 机 与 实例 ”就 本 书 而 言 ,，“ 实 例 ” 和 和 “虚拟 机 ”这 两 个 术语 是 等 价 的 。 本 书 文字 或 者 图 片 说 
明 中 的 虚拟 机 术语 都 是 用 来 描述 OpenStack 实例 的 。 但 是 ， 由 于 OpenStack 可 以 配置 提供 裸 设备 
和 Linux 容器 作为 实例 ， 因 此 理解 它们 的 不 同 也 是 值得 的 。 


2.3.2 ”Access & Security 界面 


“Access && Security” 不 是 最 有 趣 的 栏目 ， 除 非 你 是 安全 管理 人 员 。 但 关注 这 块 可 以 减少 后 面 
很 多 不 必要 的 困惑 。 
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“Access 多 Security” 界 面 如 图 2-6 所 示 。 界 面 顶 部 的 前 3 个 标签 ( Security Groups 、Key Pairs 
和 Floating IPs ) 都 与 虚拟 机 的 访问 相关 。 这 个 界面 中 还 有 “APIAccess” 标 签 ， 但 大 多 数 时 候 与 
其 他 标签 没有 关系 。 


Access 4 Securlity 


Securit 

Security Groups 十 cream Socurity Group 大 攻 2 和 
Name Description Actions 
daftautt detault Manage Rulos 


Depiyving 1 Mem 


2-6 “Access &Security” 界 面 


想象 一 下 你 的 虚拟 机 实例 网 络 策略 无 法 访问 (network policy inaccessible，PI )。 这 里 PI 是 指 
通过 基于 一 些 访 问 限制 的 网 络 策 略 的 网 络 无 法 访问 实例 , 如 一 项 全 局 的 默认 拒绝 所 有 网 络 访问 的 
规则 。 在 OpenStack 中 ， 安 全 组 定义 多 条 规则 ( 访问 列表 ) 来 描述 在 网 络 层 的 可 访问 性 (哪些 可 
以 进来 ， 哪 些 可 以 出 去 ),。 一 个 安全 组 可 以 为 一 个 单一 的 实例 创建 ， 或 者 一 组 实例 共 至 同样 的 安 
= 

DevStack 创建 了 一 个 默认 的 安全 组 。 默认 的 安全 组 包含 了 允许 虚拟 机 所 有 IPv4 和 IPv6 流量 
进出 的 规则 。 如 采 把 这 条 默认 安全 组 配置 应 用 到 前 面 提 到 的 无 法 访问 的 虚拟 机 , 那么 这 人 台 虚 拟 机 
就 没有 任何 网 络 层 面 的 限制 了 。 人 简单 来 说 ， 安 全 组 就 像 是 特定 组 或 者 虚拟 机 实例 的 个 人 防火 增 。 























每 个 虚拟 机 的 安全 组 


虽然 一 开始 看 起 来 安全 组 像 是 配置 虚拟 机 本 地 防火 墙 ( 如 lptables、Windows 防火 墙 等 ) 的 一 种 
方式 , 但 其 实 不 是 这 样 的 。 安 全 组 规则 通常 在 运行 OpenStack 网 络 服务 的 物理 节点 上 实施 。 有 很 多 选 
项 ( 驱动 ) 来 实施 安全 组 ， 包 括 把 它 转 移 到 物理 防火 墙 。 

本 书 的 例子 将 会 在 虚拟 交换 层面 基于 混合 驱动 ( OVSHybridlptablesFirewallDriver ) 来 实施 安全 组 
规则 。 为 了 可 以 充分 理解 这 个 功能 作为 OpenStack 网 络 的 一 部 分 ， 我 们 将 在 第 6 章 中 讨论 更 多 细节 。 








假如 应 用 默认 ( 打开 ) 安全 组 规则 到 之 前 假设 无 法 访问 的 虚拟 机 。 现 在 在 网 络 层面 将 不 再 有 
限制 ， 可 以 通过 SSH 访问 这 个 虚拟 机 。 还 有 一 个 问题 ， 用 什么 证 书 或 者 密码 来 进行 认证 ? 如 采 
假设 这 个 虚拟 机 的 源 镜像 包含 一 个 你 知道 的 密码 或 者 证 书 ， 那 就 没 问 题 ， 但 通 妆 事实 并 非 如 此 。 
可 以 通过 镜像 或 者 快照 创建 虚拟 机 , 这 些 镜像 或 者 快照 有 些 是 全 部 项 目 都 可 以 用 , 但 有 些 只 是 东 
些 项 目 私有 的 。 

假设 前 面 说 的 网 络 策略 无 法 访问 的 虚拟 机 是 从 一 个 普通 镜像 创建 出 来 的 。 攒 证 可 通过 下 列 两 
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种 方式 在 从 一 个 普通 镜像 中 创建 出 来 的 虚拟 机 中 生效 : 

国 ”凭证 《证 书 或 者 本 地 密码 ) 已 经 包含 在 镜像 里 面 ， 同 时 也 分 享 给 用 户 ; 

图 ”凭证 是 在 创建 虚拟 机 时 注入 或 者 它们 已 经 存在 于 虚拟 机 镜像 中 。 

安全 人 员 可 能 会 对 讨论 这 个 话题 有 兴趣 ,他 们 肯定 是 插 厦 胸口 说 第 一 种 方法 也 是 一 种 好 方 
法 “。 相 比 之 下 ， 所 有 虚拟 机 共享 root 密 码 或 者 证 书 让 你 在 显示 器 输入 密码 会 更 加 人 性 化 。 由 于 
这 个 原因 ，OpenStack 提 供 了 在 创建 虚拟 机 时 注入 凭证 到 虚拟 机 的 功能 。" 密 钥 对 ”标签 就 是 用 来 
创建 新 的 或 者 导入 已 有 的 证 书 ， 用 来 实施 对 虚拟 机 用 户 的 认证 。 

假设 现在 通过 “ 密 钥 对 ”标签 可 以 使 用 证 书 来 对 网 络 案 略 无 法 访问 的 虚拟 机 进行 访问 了 。 这 个 
虚拟 机 创建 在 一 个 OpenStack 网 络 管理 的 网 络 ( 子 网 ) 上 , 但 这 个 网 络 是 私有 的 (参见 RFC 1918， 
www.ietf.org/rfc.html )， 只 能 在 组 织 内 部 访问 。 如 果 想 要 在 组 织 外 部 访问 这 个 虚拟 机 ， 那 这 个 虚拟 
机 必须 关联 ( 直接 分 配 或 者 通过 某 种 链接 ) 到 一 个 公 网 ( 参见 RFC 791 ) 地 址 。 可 以 直接 分 配 公 网 
地 址 给 这 个 虚拟 机 ， 但 这 样 除 了 完全 骏 露 这 个 虚拟 机 的 安全 顾虑 之 外 ， 还 有 个 问题 是 IPv4 地 址 数 
量 有 限 (参见 “IPv4 枯竭 ”部 分 )。 OpenStack 通过 浮动 卫 的 使 用 将 虚拟 机 公开 给 外 部 网 络 ， 可 以 
通过 浮动 IP( Floating IPs ) 标签 来 分 配 浮动 卫 地 址 。 浮 动 卫 代表 浮动 网 络 协议 (floating Internet 
Protocol ) 地 址 ， 也 就 是 说 ， 地 址 可 以 被 分 配 或 者 按 需 要 在 实例 间 浮 动 。 浮 动 地 址 并 不 一 定 是 公 网 
地 址 ， 但 对 于 这 个 例子 ， 可 以 说 是 分 配 了 一 个 公共 的 浮动 卫 地 址 到 这 个 网 络 策 略 无 法 访问 的 虚拟 
机 。 你 现在 有 连接 到 这 个 虚拟 机 必需 的 访问 〈 安 全 组 )、 认 证 ( 密 钥 对 ) 和 连接 (浮动 IP )。 






































IPv4 枯竭 


在 互联 网 时 代 早 期 ，|Pv4 地 址 是 分 配给 所 有 设备 的 。1981 年 ， 当 IPv4 规范 RFC 791 ( Internet 
Protocol ) 最 后 被 批准 时 ， 就 可 以 预见 到 32 位 的 指定 地 址 ( 2“， 即 4 294 967 296 ) 会 枯竭。1996 
年 ，RFC 1918 ( Address Allocation for Private Internets ) 描述 了 可 以 用 在 私有 网络 中 的 额外 的 地 址 
空间 。 

如 果 将 IP 地 址 和 电话 号 码 进行 对 比 , 就 很 容易 描述 公 网 地 址 和 私有 地 址 的 区 别 了 。 两 个 公司 不 能 
拥有 相同 的 电话 号 码 , 正如 他 们 不 能 共享 相同 的 公 网 IP 地 址 空间 。 但 是 ， 两 个 公司 可 以 使 用 完全 相同 
的 私有 地 址 空间 ， 正 如 两 个 公司 可 以 使 用 刚好 相同 数字 的 分 机 号 模式 。 在 这 两 个 例子 中 ， 你 不 能 在 没 
有 首先 路 由 到 一 个 公 网 地 址 或 电话 号 码 的 情况 下 直接 到 达 一 个 私有 地 址 或 者 分 机 。 在 私有 空间 ， 在 一 
个 公 网 地 址 ( 电话 号 码 ) 背后 可 以 拥有 数 千 个 私有 地 址 ( 分 机 号 )。 

1998 年 ，RFC 2460 ( IPv6 ) 规范 形成 ， 它 指定 的 可 直接 寻 址 的 数量 达到 了 惊人 的 约 3.4x10 个。 
IPv6 地 址 数量 远大 于 地 球 上 沙子 的 数量 ( 10”)， 所 以 可 以 做 到 所 有 “物体 联网 "。 现 在 大 多 数 设 备 和 
操作 系统 都 支持 I|Pv6， 但 原生 部 署 还 会 受到 限制 ， 部 分 原因 是 私有 地 址 范围 的 使 用 。 


至 少 在 虚拟 机 层面 ， 你 现在 应 该 对 OpenStack 如 何 处 理 访 问 和 安全 有 了 更 好 的 理解 。 本 方 的 
这 些 例 子 都 基于 一 个 假设 的 虚拟 机 ， 接 下 来 我 们 将 会 继续 这 个 练习 ， 同 时 探讨 镜像 和 快照 。 





J 从 操作 简便 性 角度 来 看 。 一 一 译 者 注 
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2.3.3 Images & Snapshots 界面 


如 果 你 熟悉 虚拟 化 技术 ( 如 Xen Server、KVM、VMware 或 者 Hyper-V )， 你 创建 虚拟 机 的 
想法 也 许 是 从 创建 虚拟 便 件 开始 ， 然 后 加 载 软件 。 正 如 前 面 的 解释 ，OpenStack 是 一 个 比 传统 
Hypervisor 更 高 层次 的 抽象 。 在 OpenStack 预期 的 使 用 场景 下 ， 虚 拟 机 ( 实例 ) 界面 是 不 能 加 载 
虚拟 媒体 的 。 用 户 可 以 导 和 人 提前 为 OpenStack 创建 好 的 镜像 ， 如 Ubuntu ( https://cloud-images. 
ubuntu.com/ ) 和 CentOS ( http://cloud.centos.org/centos/ )， 或 者 从 已 有 的 镜像 中 选择 。OpenStack 
镜像 可 以 想象 成 是 被 OpenStack 应 用 到 虚拟 便 件 上 来 提供 虚拟 机 的 数据 集合 。 











云 镜 像 ”OpenStack 支持 任何 底层 hypervisor 支持 的 操作 系统 。 然 而 , 通常 被 OpenStack 使 用 的 镜 
像 ， 跟 Amazon EC2 这 种 公有 云 提供 商 一 样 ， 里 面 都 包含 对 底层 虚拟 机 环境 进行 部 署 各 操作 的 客 
外 工具 。 其 中 的 工具 之 一 cloud-init (https://help.ubuntu. com/community/CloudInit ) 可 以 让 云 框架 
提供 与 资源 分 配 相关 的 操作 系统 信息 (主机 名 、IP 地址 等 )。 





这 也 不 是 说 无 法 对 它 安装 ISO( 国际 标准 化 组 织 9660/13346 ) 镜像 来 启动 一 个 虚拟 机 和 基于 
这 个 安装 创建 新 的 镜像 。 事 实 上 ，OpenStack 已 经 提供 了 这 些 特定 的 功能 ， 如 从 ISO 启动 ,来 适 
应 一 些 有 商业 版 权限 制 的 操作 系统 的 使 用 , 如 微软 的 Windows。 很 多 镜像 格式 ,包括 RAW 、VHD、 
VMDK、VDI、ISO、QCOW、AKI、ARI 和 AMI， 都 是 被 OpenStack 原生 支持 的 。 尽 管 很 多 镜 
像 格 式 都 是 文 持 的 ， 但 想 要 具有 完整 功能 ， 仍 有 一 些 特 定 OpenStack 的 镜像 要 求 ， 因 此 ， 还 是 建 
以 从 预先 建立 好 的 镜像 开始 。 




















OpenStack 镜像 格式 


处 理 锐 像 文件 时 会 发 现 有 多 种 涉及 文件 格式 的 文件 扩展 名 ， 下 面 列 举 了 OpenStack 支持 的 镜像 格 陈 。 
加 ”RAW， 非 结构 化 格式 。 扩 展 名 应 该 是 “raw” 或 者 你 能 够 简单 地 有 一 个 没有 扩展 名 的 镜像 。 
加 ”VHD ( Virtual Hard Disk ): 原本 是 微软 的 虚拟 磁盘 格式 ， 这 个 镜像 也 授权 给 其 他 厂商 使 用 。 
加 ”VMDK ( Virtual Machine Disk ): 原本 是 VMware 的 磁盘 格式 ， 自 从 公有 化 后 ， 现 在 是 非常 
常用 的 磁盘 格式 。 

VDI ( Virtual Disk Image or VirtualBox Disk Image ):， Oracle VirtualBox 指定 的 镜像 容器 。 
ISO: 光学 图 像 的 存档 格式 。 经 常用 在 从 安装 磁盘 创建 虚拟 机 。 

QCOW ( QEMU Copy On Write )， 用 在 托管 虚拟 机 监视 器 QEMU 的 机 器 镜像 格式 。 

AKI: Amazon 内 核 镜像 。 

ARI: Amazon 内 存盘 ( ramdisk ) 镜像 。 

AMI: Amazon 机 器 镜像 。 

还 有 镜像 的 容器 格式 的 规范 ， 但 OpenStack 目前 还 不 支持 容器 。 


“Images 人 Snapshots” 管 理 界面 的 名 字 说 明了 从 技术 角度 来 说 ， 镜 像 和 快照 是 不 同 的 。 然 
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而 ， 它 们 之 间 又 只 有 非常 少 的 技术 差异 。 通 常 认为 ， 镜 像 是 一 个 “等 待 启动 的 虚拟 机 ”， 没 有 
任何 用 户 数据 。 可 以 认为 快照 是 存在 的 虚拟 机 和 相关 数据 的 一 幅 照 片 或 者 “ 某 个 时 间 点 的 快 
照 ”。 也 可 以 认为 快照 是 备份 ， 但 是 我 们 也 从 快照 创建 虚拟 机 ( 实例 )， 镜 像 和 快照 的 差异 就 变 
得 有 点 模糊 了 。 

镜像 和 快照 之 间 有 这 样 一 种 过 渡 关 系 : 镜像 => 虚 拟 机 ， 虚 拟 机 => 快 照 ， 因 此 ， 锐 像 => 快 照 。 
因此 , 在 OpenStack 中 ,镜像 = 快 照 + 元 数据 ( metadata )。 图 2-7 解释 了 镜像 如 何 变 成 虚拟 机 、 虚 
拟 机 如 何 变 成 快照 ， 以 及 快照 如 何 变 成 虚拟 机 。 





磁盘 镜像 拥有 创建 快照 拥 有 创建 新 的 
新 的 虚拟 机 的 数据 虚拟 机 的 数据 


/ 





新 的 虚拟 机 
启动 实例 。 》 ”创建 快照 | 
”镜像 虚拟 机 0 一 一 一 一 一 | | 虚拟 机 0 
> ---- 虚拟 机 0 的 快照 
新 的 虚拟 机 
启动 实例 人 
虚拟 机 1 





虚拟 机 0 的 快照 


2-7 ”镜像 与 快照 的 关系 


在 如 图 2-8 所 示 的 “Images 信 Snapshots” 管 理 界面 中 ， 可 以 : 

图 创建 镜像 一 一 通过 上 传 文件 或 者 指定 网 络 位 置 来 导入 镜像 ， 同 时 必须 指定 一 种 被 
OpenStack 所 文 持 的 镜像 格式 ; 

图 创建 卷 一 一 从 镜像 或 者 快照 创建 卷 ( 可 启动 的 磁盘 )。 这 个 过 程 会 准备 虚拟 机 (实例 ) 创 
建 过 程 中 的 相关 存储 组 件 ( 获得 资源 、 复 制 数 据 和 占用 块 存储 空间 ), 尽管 实际 上 没有 创 
建 实例 。 

如 图 2-8 所 示 ,“Images && Snapshots” 界 面 由 两 部 分 组 成 : 

图 Images (镜像 ) 一 一 用 来 创建 新 的 虚拟 机 的 操作 系统 配置 和 数据 ; 

图 ”Volume Snapshots ( 卷 快照 ) 一 一 虚拟 机 的 存储 卷 的 数据 复制 品 。 这 个 卷 快照 可 以 用 来 备 
份 ， 或 者 以 存在 的 虚拟 机 的 数据 和 配置 来 创建 新 的 虚拟 机 。 


2.3 使 用 OpenStack Dashboard 


Images 4 Snapshots 


Images 会 Project{0) 
= Image Name 
clres-0.3.1- 
i Image Active 
Deploying 1 em 


Volume Snapshots 


Name Description 
snapshoat for 
Test_ Snapsahat 
Deplaying 1 hem 
2-8 


Logged in as: demo 


Shared with Me | 动 Publis (1) 


Yes NG 


记 M 


Sottireys ai) Sign Ot 


下 Ereata Image 苗 Dealats Imagas 


Type Status Publises Protected Foermat Actions 


Launceh | More ™ 


苏 Deiets Volumae Snapshots 


Size Status Volume Name Actions 

cblideid0 

CBBe-4911-= : ; 
| ilabl Create Volume More 
16B Available Bad6- 

adc2E5dd7 


“Images & Snapshots” 界 面 
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“Volume Snapshots” 用 于 从 快照 创建 卷 或 者 删除 快照 。 很 快 将 会 介绍 卷 的 创建 ， 然 后 卷 的 删 


除 就 不 解 目 明了 。 

“Images” ”列举 了 镜像 和 快照 。 
“Public” 标 签 说 明 这 个 镜像 是 该 
OpenStack 部 敬 里 任何 人 都 可 以 使 
用 的 。 名 为 “cirros-0.3.1-x86_64- 
uec” 的 镜像 是 通过 DevStack 过 程 
为 测试 而 创建 的 。 相 比 之 下 , 在 具 
体 的 项 目 里 创建 的 快照 或 镜像 , 除 
韭 明确 设置 为 公有 的 ， 痢 被 列 在 
“Project ”标签 和 下。 通过 单 击 
“Launch” 按 钮 ， 可 以 基于 可 用 的 
镜像 创建 一 个 新 的 实例 ,实例 创建 
的 详细 说 明 会 放 到 2.3.5 市 中 。 

现在 看 看 如 何 创 建新 的 镜 
像 。 如 果 单 击 “Create Image” 按 
钮 ， 就 会 出 现 图 2-9 所 示 的 弹出 
窗口 。 


Create An Image 


Nurmie 
ubaunty 12 4 Bd 
Description 


Lournty 12,04 nt B64 Gloud maqge 


Image Souree ® 


Image Locatieon 


lmage Locmter 


Description: 

Spocity an imago to upload to tho Image Somvico. 
Laurrentiy Griy iT Asailable via an HTTP UAL are 
Bupporbed, The mage location mst bo coersible 
to the Imags Somvice. Comprossed image binarios 
re uppeted (Hp arud .barge.) 


Please rote: The Image Localon fiald MUST be a 
vald and direct UAL to the image binary. UALs thal 
redireat Gr Sone eror Dages wih result in unusable 


htt Use -li Ukyuribu, Co precis urit pr 


Pormat * 


COOW2 = QEMU Emulator 


Minimum Disk (GB) 


Minimum Ram (ME 





2-9 创建 镜像 
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如 前 面 所 述 , 需要 提供 镜像 源 、 格 式 和 最 低 需 求 。 一 旦 单 击 “Create Image” 按 钮 ,OpenStack 
就 会 把 镜像 创建 好 ， 可 以 使 用 了 。 
现在 来 看 看 OpenStack 实例 〈 虚拟 机 ) 的 存储 机 制 。 





2.3.4 Volumes 界面 


你 可 能 把 目光 投 回 最 好 玩 的 地 方 一 一 访问 目 己 的 私有 云 虚 拟 机 了 ,但 现在 还 有 最 后 一 些 介 
绍 性 的 内 容 。 只 是 为 了 体验 ， 可 以 跳 过 卷 界面 ， 因 为 DevStack 把 它 准 备 好 了 了。 但是， 由 于 
OpenStack 处 理 存 储 的 方式 与 任何 其 他 你 可 能 使 用 的 方式 有 本 质 上 的 差别 ， 因 此 有 必要 了 解 这 
个 过 程 。 

OpenStack 卷 为 虚拟 机 提供 “ 块 ” 级 别 的 存储 ( 可 以 用 于 启动 操作 系统 )。 弄 清 块 与 其 他 存储 
类 型 的 区 别 并 不 重要 ， 只 需要 充分 理解 块 存储 被 要 求 启动 实例 (虚拟 机 )。 

图 2-10 展示 了 “Volumes” 管 理 界面 。 通 过 这 个 界面 可 以 创建 、 修 改 或 者 删除 OpenStack 卷 。 
可 以 看 到 现 有 的 一 个 卷 正 在 使 用 中 ， 挂 载 到 名 为 Test_Instance 的 实例 。 这 个 着 是 在 实例 
Test_Instance 创建 过 程 中 被 目 动 创建 的 。 这 个 是 唯一 挂 载 到 实例 Test_Instance 的 卷 。 因 此 ， 如 采 
登录 到 这 个 实例 ， 然 后 执行 获取 目录 列表 的 命令 ， 实 际 上 就 是 在 这 个 卷 上 执行 的 。 
































Vo lu m e G LOOOea In as: dero 配属 性 Hailp 可 四 mm Ot 
VD [um ES 全 Figar 丰 Greate Volumae 
Name Description Size Status Type Attacshed Te Actieons 
chideild0 
Be dQ11. Attached to 
ER i168 In-Use -= Test Instance | EdiAiachmenits 
Bed= RE 
1aadc2BoAd rl 


Daeplaying | tem 
2-10 “Volumes” 界 面 


为 了 局 动 一 个 机 硕 , 必须 拥有 一 个 以 某 种 方式 挂 载 到 虚拟 机 的 虚拟 养 , 这 个 卷 在 某 些 时 候 是 
由 物理 存储 来 提供 的 。 现 在 创建 一 个 新 的 卷 ， 挂 载 到 实例 Test_Instance， 然 后 再 了 解 这 个 过 程 都 
涉及 哪些 技术 。 

想 要 创建 一 个 新 的 卷 ， 可 以 单 击 “Create Volume” 按 钮 ， 就 会 得 到 图 2-11 所 示 的 弹出 窗口 。 
在 创建 卷 时 ， 需 要 指定 卷 的 名 称 、 类 型 、 大 小 和 源 。 





你 有 多 大 空间 在 代码 清单 2-8 所 示 的 local.conf 配置 文件 里 ， 就 可 以 指定 VOLUME_BACKING_ 
FILE_SIZE 的 值 ,这 个 值 会 指定 DevStack 管理 的 总 的 可 用 存储 大 小 。 这 个 选项 默认 值 是 10240M 
( 即 10GB ), 因 此, 除非 增加 这 个 值 , 不 然 不 要 超过 总 共 10 GB 的 卷 存 储 , 包括 实例 附属 的 存储 。 
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Create Volume 


Volume Name Description: 
VOL 2 Tost lInatanse ValurThes Bre Doeor deovlces hat Gan De Htached te 
instances 


Doeseription 


Volume Limits 
Mdadrnonay Ve for Ue Terst |ris dirise Tatal Gigabytas 站 GB 


Numbeor of Volurmes (1) 


Size (GG * 





2-11 “Create Volume” 弹 出 窗口 


最 初 卷 类 型 是 空 日 的 ， 因 为 DevStack 没有 创建 黑 认 的 卷 类 型 。 卷 类 型 是 可 选 属性 ， 用 来 为 
用 户 提 供 后 端 存 储 ( 如 SSD 、SAS 或 备份 ) 的 信息 。 卷 类 型 还 可 以 用 来 指定 特定 类 别 存储 的 可 生 
存 性 。 在 很 多 例子 中 ， 后 端 存 储 都 是 一 样 的 ， 就 没有 必要 创建 卷 类 型 了 ，。 

如 果 不 指 定 卷 的 源 ,， 就 会 创建 一 个 空白 的 卷 。 这 种 类 型 的 卷 可 以 用 来 为 现 有 的 实例 增加 额外 
的 存储 空间 ， 或 者 指派 给 通过 可 启动 安装 程序 (ISO ) 镜像 创建 的 实例 。 可 以 选择 存在 的 镜像 或 
者 指定 的 快照 作为 卷 的 源 。 这 样 会 复制 源 的 数据 到 新 的 卷 ， 这 个 卷 的 大 小 会 大 于 或 等 于 源 镜 像 。 
在 “Create Volume” 界 面 ( 见 图 2-11 ) 中 指定 卷 的 源 为 镜像 或 者 快照 与 在 “Images & Snapshots 
界面 ”( 见 图 2-8 ) 中 使 用 按钮 创建 卷 是 一 样 的 。 

接 下 来 了 解 一 下 实例 (虚拟 机 ) 创建 的 整个 过 程 。 











块 、 文 件 与 对 象 存 储 


长 期 持久 性 存储 可 以 由 多 种 设备 提供 ， 包 括 机 械 硬 盟 、 固 态 硬 盘 或 磁 市 。 虽 然 有 多 种 类 型 的 存储 
设备 ， 但 典型 的 存储 访问 方法 可 以 分 为 以 下 3 类 。 
国 。 块 一 一 内 存 级 别 的 抽象 。 例 如 ， 计 算 机 获取 0 一 1000 范围 的 内 存 数据 。 
图 文件 网 络 共 享 级 别 的 抽象 。 例 如 ， 用 户 从 共享 的 nfs://somecomputer.testco.com/file.txt 
获取 文件 。 
国 ”对 和 象 一 一 AP| 级 别 的 抽象 。 例 如 ， 应 用 程序 用 GET /bucket/0000 从 API 获取 对 象 /文件 。 





2.3.5 Instances 界面 


到 此 ,你 也 许 还 没有 变 成 一 个 专家 ,你 应 该 足够 了 解 创 建 OpenStack 实例 时 涉及 的 OpenStack 
术语 和 技术 。 开 始 之 前 ， 记 住 上 文中 关于 不 要 去 请 求 比 你 拥有 的 容量 更 大 的 卷 的 警告 。 
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图 2-12 展示 了 “Instances” 管 理 界面 。 这 里 列 出 了 每 个 实例 和 它们 当前 的 状态 ， 以 及 创建 实 


例 的 选项 、 


重 局 /快照 /终止 ( 删除) 现 有 实例 的 选项 和 其 他 选项 。 


LOGOed in as: damo SetinDs Heip Son Out 
Instances 
Instances 
hr a me im ee CE 
Instance Image IP Power 
Name Name Address Size Keypair Status Task State Uptime Actions 
m1.tiny 
| 
512MB RPRRTTTP 
et RAM | ， 0 Pe 
Test_iInstance 1 10.0.0.4 1 Active None Running Oe a 
VCPU | 
1.0GB 
Disk 
Displaying 1 im 
[44 59 
图 2-12 “Instances” 界 面 


可 以 通过 单 击 “Launch Instance” 按 钮 来 创建 一 个 新 的 实例 ， 会 出 现 如 图 2-13 所 示 的 弹出 


窗口 。 


Launch lnstance 


Dotails * 


Availability Zone 


nova 


Instance Name ” 


Test Instance 2 


Flavor * 


mi.medium 


Instance Count * 


Instance Boot Sourcoe * 


Boot from image fcreales a new voluma). 


Image Name 


Cios-0.3.1-x86_ 64-Uec (24.0 MB) 


Device size (GB) 


Delete on Terminate 


以 


2-13 





“Launch 


Specify the detaas for launching an instance 


The chart below shows the resources used by this prolect 
m relation to the proiect s Quotas 


Fiavor Details 
Name mi,medium 

VCPUs 

Root Disk 

Ephemeral Disk 

Total Disk 


RAM 


Project Limits 
Number of Instances 


Number of VCPUs 


Total RAM 


Instance” 弹 出 窗口 
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1. “Launch Instance” 弹 出 窗口 :“Details” 标 签 








在 “Details” 标 签 中 ， 可 以 设置 实例 的 可 用 域 、 实 例 名 、 实 例 类 型 、 实 例 数量 、 实 例 启 动 源 、 
镜像 名 、 设 备 大 小 和 设备 名 。 








Availability Zone ( 可 用 域 ) 一 一 在 DevStack 部 团 中 ， 只 有 一 个 可 用 域 被 配置 和 可 用 。 人 然 
而 ,在 生产 部 署 中 可 以 有 多 个 域 ， 取决 于 你 的 部 署 。 域 通常 用 来 按 数 据 中 心 或 目的 划分 
OpenStack 部 署 。 

Instance Name (实例 名 ) 一 一 实例 的 名 称 ， 即 OpenStack 里 显示 的 名 称 和 实例 的 主机 名 。 
Flavor ( 实例 类 型 ) 一 一 OpenStack 实例 类 型 指定 了 实例 的 虚拟 资源 大 小 。DevStack 会 创 
建 好 几 个 实例 类 型 ,但 这 些 实例 类 型 的 值 是 可 以 配置 的 。 

Instance Count ( 实例 数量 ) 一 一 通过 设置 实例 数量 ， 可 以 一 次 创建 多 个 实例 。 

Instance Boot Source( 实例 启动 源 ) 一 一 实例 局 动 源 有 多 种 选择 , 这 里 的 例子 选择 的 是 从 

镜像 局 动 "， 因 为 它 会 基于 现 有 的 镜像 创建 一 个 卷 。 

Imasge Name (镜像 名 ) 一 一 如 上 文 所 提 ，DevStack 会 以 某 个 镜像 名 为 我 们 创建 至 少 一 个 
可 用 的 镜像 。 

Device Size (设备 大 小 ) 
Device Name (设备 名 ) 




















指定 设备 的 大 小 。 
指定 实例 的 局 动 设备 名 。 





一 旦 完成 这 些 值 的 设置 ， 可 以 移动 到 “Access && Security” 标 签 。 


2. “Launch Instance” 弹 出 窗口 : “Access & Security” 标 签 





在 图 2-14 所 示 的 “Access 性 Security” 标 签 中 ， 可 以 设置 在 2.3.2 节 里 提 到 的 访问 与 安全 选项 。 
DevStack 已 经 提供 了 设置 的 默认 值 ， 如 图 2-14 所 示 ， 因 此 ， 可 以 直接 跳 到 “Networking” 标 签 。 





Launch Instance 


ACCESS & Socurity 二 


Keypal Ceontrol acoess to Your Instance va Keypalrs, Security 


No kevpalrs avallable. E Houns, and ther mechanisms 


Bdrmin Pass 


Gonfrm Admm Pass 


Soeurity Groups " 
回 dafaukt 





2-14 “Access & Security” 标 签 
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3. “Launch Instance” 弹 出 窗口 :“Networking” 标 签 


我 们 还 没有 真正 讨论 过 网 络 ， 但 不 用 担心 。OpenStack 网 络 会 在 后 面 的 章节 里 介绍 ， 包 括 第 
会 有 深入 的 剖析 。 
在 “Networking” 标签 ( 见 图 2-15 ) 中 ， 单 击 “Available Networks” 选 项 中 private (私有 ) 
网 络 右边 的 “+” 按 钮 ， 这 个 网 络 应 该 会 移动 到 “Selected Networks” 框 里 ， 如 图 2-16 所 示 。 


Launch Instance 


Selected Networks Choose network from Available networks to Selected 
Networks by push button or drag and drop, you may 
change nic order by drag and drop as wel 


Available networks 


Sprivate 





2-15 “Networking” 标 签 


Launch Instance 


Selected Networks Chorse netvwork from Available networks to Selected 
Nebhyorks by push buttan er drag arnd drop, Vou may 
ED: pnwvate 国 charae nic Grder by drag ard dron a wall, 


Available netyorks 





图 2-16 ”网 络 选择 


好 了 , 动 动 手指 , 单 击 一 下 “Launch” 按 钮 。 笠 运 的 话 , 一 旦 实例 创建 过 程 完 毕 ,就 会 在 图 2-17 
所 示 “Instances” 界 面 中 4 的 实例 。 

如 果 一 切 顺 利 的 话 ， 这 个 新 实例 ( Test_Instance_2 ) 的 状态 将 是 “Active”。 如 有 果 有 错 ， 状 态 
会 是 “Error ， 和 Dashboard 仅仅 提供 很 少 的 诊断 功能 。 如 果 遇 到 错误 ， 可 以 尝试 减少 

请 求 的 虚拟 机 的 大 小 ; 稼 见 的 错误 是 创建 的 卷 的 大 小 超过 了 最 大 可 用 存储 空间 。 如 有 果 这 样 不 能 解 

决 问题 , 可 以 查看 位 于 /opt/stack/logs 的 各 个 服务 的 界面 日 志 , 或 者 可 以 直接 通过 命令 screen - 
来 查看 界面 日 六。 查看 OpenStack 组 件 日 志 的 这 两 种 方法 在 “运行 stack” Wa 中 有 详细 介绍 。 

训 无 疑问 ， 现 在 你 可 以 访问 刚 创 建 的 实例 了 。 如 果 遇 到 错误 ， 然 后 通过 日 志 排 查 ， 最 后 把 实 
例 状 态 变 成 运行 中 ， 这 很 正 消 。 下 一 节 会 介绍 访问 这 个 新 服务 需 的 过 ee 

















2.4 ”访问 第 一 个 私有 云 服务 唤 
Instances 


Instances 


Image IP Power 
Instance Name Name Address Size Keypair Status Task State Uptime Actions 
m1.medivm 
14GB RAM A Croaio Snapshot 
[mo 0 
t nstance 2 10.005 |2 VCPU | Active None Running 
found) 、 FnminuteS More 
40.0GB 
Disk 
m1 .tiny | 
51oNMB 43 Create Snanshat 
tinstance 10004 RAM|1 = Actve None Running 
VCPU | minvutes 人 
1.0GB Disk 


Depiyrng 2 sems 


2-17 “Instances” 界 面 中 的 新 实例 


eX 访问 第 一 个 私有 云 服 务 器 
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现在 估计 你 已 经 迫不及待 想 要 登录 创建 的 虚拟 机 。 可 以 通过 实例 控制 台 ( Instance Console ) 登 录 。 
要 访问 实例 控制 台 ， 在 图 2-5 所 示 的 管理 工具 栏 中 单 击 “Instances” 链 接 。 进 入 “Instances” 
界面 ， 单 击 要 操作 的 实例 名 ， 就 会 进入 到 “Instance Detail” 界 面 。 现 在 ， 单 击 “Console” 标 签 ， 








应 该 可 以 看 到 图 2-18 所 示 的 控制 台 。 


Instance Gonsole 


| ceraaie ts reat rmsponadirg to evyboard ineut: eliek the gay tatus bar Gatcw. Wien Me 后 Hayy GT 5 二 有 





| end Crna 





A 去 区 三 丰 帮 二 本 3 本 委 二 抽 和 有 粳 机 时 酸 守 谭 面 访 下 这 大 记 
cpuidle: using governor Wenu 
EFI Uariables Facellitw wa,eHH Zond4=Hau=17? 
tbr TEP cubic PP 本 可 工 写 二 大 耶 瑟 吉 
了 MET: Registered protocol familw la 
NET: Registered protocol family 17? 
Ney listerng the dns_resolwver EE tupe 
[et | taskstats wersjorn 1 
站 本 Eber: :1 959 
mem Jdmem: hash matcehes 
[i 
BIlO0s EDD facility v.16 26801=Jun=25: OG devices 
EDD nformation nat dwallable 
Frecing unyused kernel memory: Se 


下 放下 前世 炳 中 iL 起 ret 


上 和 


Further cutput weitten to dewttuy 


1 和 1m 直 扎 “ 芭 必 下 直面 总 ” 动 专 刁 示 品 二 站 高 箱 外 全 下 囊 守 号 同 i Far Famt, 


Ieirros loginm: _ 


2-18 实例 控制 合 


假设 使 用 由 DevStack 提供 的 cirros 镜像 创建 实例 ， 应 该 可 以 通过 用 户 名 “cirros” 


“cubswin:) ”登录 。 


和 密码 
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NAT 转换 


如 果 这 个 新 创建 的 虚拟 机 想 要 在 OpenStack 网 络 之 外 访问 , 可 以 使 用 下 面 的 命令 来 转换 虚拟 机 到 
a 网 络 3 


sudo iptables -t nat -A POSTROUTING -oO eth0O -] MASQUERADE 


执行 这 条 命令 后 ,假如 你 的 OpenStack 节点 是 连接 到 互联 网 的 ,那么 实例 的 互联 网 访问 应 该 正常 ， 
如 ping 8.8.8.8。 


现在 可 以 通过 控制 人 台 访 问 实 例 了 ， 通 过 网 络 连接 你 的 主机 会 怎么 样 ? “Instances” 界 面 显示 
的 IP 地 址 是 10.0.0.4, 但 不 能 从 外 面 SSH 或 者 PING 通 服 务 器 , 怎么 回 事 ? 如 果 你 使 用 过 其 他 的 
虚拟 化 平台 ,就 知道 网 络 是 扁平 的 。 在 这 里 ， 扁平 是 说 虚拟 机 通过 增加 虚拟 接口 直接 连接 到 某 个 
网 络 的 网 络 拓扑 。 可 以 以 这 种 方式 配置 OpenStack， 但 通过 本 书 的 学 习 ， 你 会 发 现 OpenStack 网 
络 可 以 做 更 多 事情 。 

现在 可 以 充分 理解 实例 的 地 址 10.0.0.4 就 是 实例 在 OpenStack 内 部 的 卫 地 址 。 这 意味 痢 可 以 
在 这 个 内 部 网 络 中 创建 另 一 个 实例 , 这 两 个 实例 可 以 通过 内 部 地 址 通信 。 外 部 网 络 访问 会 在 下 文 
中 介绍 。 


2.4.1 为 实例 分 配 浮 动 IP 

本 草 最 后 会 演示 如 何 为 实例 分 配 浮动 卫 。 简 单 来 说 ， 浮 动 IP 可 以 看 成 是 实例 在 外 部 
( OpenStack 外 ) 的 网 络 代理 。 如 上 文 所 提 ， 实 例 地 址 是 用 来 在 OpenStack 网 络 内 部 通信 的 。 如 果 
实例 想 与 OpenStack 之 外 的 网 络 通 信 ， 通 和 常 可 以 分 配 浮动 IP 给 实例 。 这 个 浮动 IP 将 会 是 实例 在 
外 部 网 络 的 代理 。 














要 分 配 浮 动 耻 ， 首 先进 入 
“Instances” 界面 ， 单 击 “More” 按 钮 

关联 你 的 实例 ， 然 后 选择 “Associate 
和 | ea Floating IP”， 将 会 出 现 图 2-19 所 示 的 
bie | “Manage Floating IP Associations” 弹 出 

a ” a 

可 以 在 “了 Address” 下 拉 荣 单 中 选 
择 卫 地 址 。 如 果 出 现 No IP addresses 
available ( 无 可 用 IP 地址 )， 单 击 “+” 
按钮 从 公共 池 中 申请 分 配 一 个 新 的 卫 地 址 。 一 旦 你 从 “IP Address” 下 拉 末 单 中 选择 了 一 个 地 址 ， 
单 击 “Associate” 按 钮 后 ， 这 个 浮动 IP 就 被 分 配 到 实例 了 。 

在 图 2-19 所 示 的 例子 中 , 分配 了 浮动 IP 192.168.1.4 给 卫 为 10.0.0.4 的 实例 。 如 果 通 过 控制 
台 访 问 实例 ， 是 看 不 到 任何 变化 的 ， 因 为 实例 操作 环境 对 OpenStack 网 络 提供 的 浮动 IP 是 无 感 


Manage Floating IP Associations 





2-19 “Manage Floating IP Associations” 弹 出 窗口 
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知 的 。 这 种 绑 定 可 能 令 人 不 解 ， 但 只 要 记 住 例子 中 实例 IP 和 浮动 IP 是 一 对 一 关系 即 可 。 


2.4.2 ”允许 到 达 浮动 IP 的 网 络 访问 

为 了 让 分 配 了 浮动 IP 的 实例 可 以 访问 OpenStack 服务 器 上 的 本 地 网 络 (这 样 就 可 以 使 用 
SSH )， 还 有 最 后 一 个 步骤 ， 就 是 必须 配置 默认 安全 组 (或 者 应 用 到 实例 的 其 他 安全 组 )， 人 允许 对 
实例 的 网 络 访问 。 

要 做 到 这 一 点 ,需要 进入 图 2-6 所 示 的 “Access 改 Security” 界 面 ， 单 击 “Manage Rules” 按 
钮 ， 然 后 单 击 “Add Rule” 按 钮 ， 从 “Rule” 下 拉 列 表 中 选择 SSH， 然 后 单 击 “Add” 按 钮 ， 就 
可 以 通过 使 用 浮动 IP SSH 到 实例 了 。 


eX 小结 


OpenStack 是 一 个 分 布 式 云 框 架 , 但 所 有 组 件 都 可 以 安装 在 一 台 服 务 右 上 。 

DevStack 是 可 以 用 来 在 一 台 或 者 多 台 服 务 右 上 部 署 OpenStack 开发 实例 的 脚本 集合 。 

用 DevStack 部 署 的 组 件 集 中 通过 配置 文件 控制 。 

DevStack exercises 或 者 OpenStack Tempest 都 可 以 用 来 测试 DevStack 部 署 。 

OpenStack 可 以 通过 基于 Web 的 Dashboard 、 命 令 行 接口 或 者 基于 Web 的 RESTful API 
进行 访问 。 

图 ”OpenStack 实例 基于 卷 、 网 络 和 安全 组 规范 进行 部 署 。 
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国 ”使 用 OpenStack CLI 管理 部 署 


通过 创建 新 租户 探索 OpenStack 租户 模型 
设置 租户 内 部 的 基本 网 络 

使 用 OpenStack 网 络 服务 配置 内 部 和 外 部 网 络 
修改 租户 配额 来 控制 资源 分 配 





本 章 基 于 第 2 章 的 部 署 介 绍 作 为 一 个 OpenStack 管理 员 或 者 用 户 会 面临 的 基本 操作 。 第 2 章 
更 加 关注 最 终 用 户 与 OpenStack 的 交互 ， 因 此 例子 都 是 基于 Dashboard 的 ， 可 以 轻松 地 执行 各 种 
用 户 或 者 管理 员 功 能 。 本 章 关 注 于 运 维 实践 ， 因 此 例子 都 会 基于 OpenStack 命令 行 接口 ( CLI )。 

如 果 你 有 系统 管理 员 经 验 ， 那 肯定 很 感激 通过 脚本 执行 重复 的 操作 ， 如 创建 1000 个 用 户 。 
OpenStack API 也 可 以 用 于 这 些 任 务 ， 会 简单 介绍 一 下 。 你 会 发 现 ， 如 果 可 以 通过 CLI 执行 一 项 
操作 ， 也 可 以 很 轻松 地 直接 用 API 来 执行 相同 的 操作 。 在 本 章 的 例子 中 ,会 坚持 使 用 CLI， 但 一 
日 你 通过 CLI 演示 理解 了 这 些 概念 后 ， 就 可 以 通过 API 或 者 Dashboard 来 执行 例子 中 的 操作 。 

CLI 还 有 个 好 处 ， 就 是 对 于 每 个 OpenStack 组 件 使 用 不 同 的 应 用 程序 。 一 开始 可 能 感觉 这 样 
没有 什么 好 处 ， 但 这 样 会 帮 你 更 好 地 理解 各 个 组 件 的 职责 。 

本 章 介 绍 的 基本 OpenStack 操作 可 以 应 用 到 DevStack 部 署 ， 像 第 2 章 介 绍 的 ， 或 者 应 用 到 
非常 大 规模 的 生产 部 署 中 。 在 第 2 草 使 用 了 Demo 租户 (项目) 和 demo 用 户 。 这 些 和 其 他 对 象 
都 是 由 DevStack 创建 的 ， 但 如 果 手 动 部 署 的 话 ， 和 租户、 用 户 、 网 络 和 其 他 对 和 象 都 不 会 目 动 创建 
出 来 。 本 章 将 会 介绍 在 创建 的 体验 租户 内 创建 必 备 的 对 象 的 过 程 。 读 完 本 章 ,， 读者 应 该 知道 怎样 
通过 OpenStack 租户 模型 来 对 资源 分 配 做 隔离 。 

本 草 的 开始 会 介绍 OpenStack CLII， 然后 介绍 创建 租户 、 用 户 和 网 络 的 过 程 ， 最 后 将 从 租户 
的 角度 来 理解 配额 管理 。 一 步 步 跟 着 例子 和 对 使 用 的 CLI 应 用 程序 做 笔记 ， 不 但 可 以 学 到 
OpenStack 的 基本 操作 ， 还 可 以 理解 OpenStack 各 个 组 件 分 别提 供 哪 种 功能 。 第 4 章 将 会 更 详细 
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地 介绍 OpenStack 各 个 组 件 的 关系 。 


ys 使 用 # 时 Kk 好 


现在 来 看 看 如 何 利用 命令 行 与 OpenStack 交互 。 在 运行 CLI 命令 前 ， 必 须 在 你 的 shell 终端 
设置 恰当 的 环境 变量 。 环境 变量 告诉 CLI 身份 认证 服务 在 何 处 和 如 何 认 证 。 你 可 以 直接 通过 CLI 
命令 输入 这 些 变量 ,但 为 了 清晰 起 见 ， 所 有 展示 的 例子 都 会 认为 是 已 经 设置 好 恰当 的 环境 变量 。 

可 以 通过 代码 清单 3-1 中 的 命令 在 shell 终端 设置 这 些 变量 。 每 次 登录 会 话 ， 你 将 不 得 不 设 
置 环 境 变量 。 











代码 清单 3-1 设置 环境 变量 








为 shell 目 动 完成 设置 变量 ， 在 输入 “something /bo” 后 按 


FREACOzE 6 。 7? 
Tab 键 就 能 完成 “something /boot ee 


source /opt/stack/python-novaclient/tools/nova.bash completion < 

source openrc demo demo A a 
从 目录 ~/devstack 运行 这 条 命令 。 当 你 运行 OpenStack CLI 
命令 时 ,你 的 号 份 是 (租户 ) <demo> 里 的 (用户 ) <demo>。 





手动 设置 环境 变量 


如 果 你 对 设置 环境 变量 有 经 验 ， 或 者 不 是 使 用 DevStack， 就 可 以 通过 下 面 的 命令 手动 设置 环境 
变量 ， 把 相应 值 换 成 你 自己 的 : 

export OS_ USERNAME=admin 

export OS_ PASSWORD=devstack 


export OS_TENANT NAME=admin 
export OS_ AUTH URL=http://10.0.2.32:5000/v2.0 


10.0.2.32 


这 些 命令 会 把 当前 shell 用 户 信息 设置 成 OpenStack admin 租户 的 admin 用 户 。 





为 了 确保 这 些 变量 正确 设置 , 可 以 运行 一 条 OpenStack CLI 命令 来 测试 。 在 shell 终端 ,执行 
nova image-1list 命令 ， 如 代码 清单 3-2 所 示 。 这 条 CLI 命令 读 取 刚才 设置 的 环境 变量 然后 
用 这 些 值 来 作为 号 份 认证 信息 。 如 果 生 份 认证 正确 和 有 权限 执行 操作 ， 这 条 CLI 命令 会 问 
OpenStack 计算 服务 (Nova ) 查询 当前 可 用 的 image-1List。 


代码 清单 3-2 设置 环境 变量 和 执行 第 一 条 CLI 命令 





devstack@devstack:~/devstack$ source \ 


/opt/stack/python-novaclient/tools/nova.bash completion 


~ 


i 


devstack@devstack:~/devstack$ source openrc demo demo 


devstack@devstack:~/devstack$ nova image—-list 


十 一 一 一 十 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 十 一 一 一 一 一 一 一 一 十 一 一 一 一 一 一 一 一 十 
| | Name | Status | Server | 这 条 简单 的 命令 将 列举 你 的 
+ 一 一 一 二 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 + 一 一 一 一 一 一 一 + 一 一 一 一 一 一 一 + ”Nova 镜像 


| 加) Ue. L202 | ACTIVE | | 
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| £.| cirros-0.3.1-x86_64-uec | ACTIVE | | 
| a.| cirros-0.3.1-x86_64-uec-kernel | ACTIVE | | 
| a.| cirros-0.3.1-x86_64-uec-ramdisk | ACTIVE | | 
十 一 一 一 十 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 二 二 二 二 三 一 二 二 十 一 一 一 一 一 一 一 一 十 





现在 可 以 以 demo 用 户 在 demo 租户 内 执行 OpenStack CLI 命令 。 这 与 第 2 草 用 的 是 相同 的 
用 户 ， 因 此 利用 CLI 进行 的 任何 改变 部 会 反映 在 Dashboard 中 。 

使 用 代码 清单 3-3 所 示 的 命令 创建 一 个 新 的 OpenStack 实例 ， 与 使 用 Dashboard 创建 一 样 。 
如 第 2 章 所 提 到 的 ，OpenStack 实例 在 本 书 中 就 是 指 一 个 虚拟 机 。 





代码 清单 3-3 ”从 CLI 局 动 实例 





告诉 Nova 你 想 启 动 /创建 一 个 实例 
nova boot \ a 2 指定 nova flavor-list 命令 显示 的 


--flLavor <flavor id> \ <flavor_id> (尺寸 ) 


-一 image <image_id> \、 半 一 国 
<instance name> 指定 nova image—-list 命令 显示 的 
、 指定 实例 名 称 “image_1id> 


执行 这 条 命令 后 ， 将 会 得 到 下 面 的 结 采 : 





nova boot \ 
-flavor 3 \ 
-image 48ab76e9-c3f2-4963-8e9b-6b22a0e9c0cf \ 


Test _ Instance 3 


十 一 一 一 十 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 十 一 一 一 一 一 一 一 一 十 一 一 一 一 一 一 一 一 十 
十 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 十 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 + 
| Property Value | 
十 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 十 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 + 
OS-EXT-AZ:availability_zone nova 
OS-EXT-STS :power_state 0 


| 
| | 
| OS-EXT-STS:task_state schedulin g | 
| OS-EXT-STS:vm_state building | 
| OS-SRV-USG:launched at | 
| OS-SRV-USG:terminated at | 
| accessIPv4 

| 


可 
| 
4 
OS-DCF :diskConfig | MANUAL 
| 
| 
| 
| 
accessIPv6 | 





通过 OpenStack CLI 可 以 执行 比 Dashboard 更 加 多 的 操作 。 在 前 面 的 例子 中 ,执行 了 Nova 
的 启动 命令 ， 提 供 了 一 个 新 的 虚拟 机 。 可 以 通过 下 列 这 条 命令 获得 更 多 高 级 Nova 命令 的 帮助 : 
nova help COMMAND (可 以 把 COMMAND 换 成 你 感 兴 趣 的 命令 )。Keystone 、Glance 和 Neutron 
等 也 有 类 似 用 法 。 
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现在 你 应 该 对 OpenStack CLI 如 何 工 作 有 了 基本 的 了 解 。 在 本 章 后 面 ， 绝 大 多 数 操作 都 会 用 
到 CLI， 因 此 学 习 如 何在 DevStack 里 工作 ， 将 会 对 后 面 遇 到 的 非 预期 情况 有 所 帮助 。 
在 开始 租户 例子 前 ， 先 来 看 看 OpenStack API 的 工作 原理 。 





Vw 使 用 如 相国 


到 这 里 读者 可 能 会 好 奇 :“OpenStack CLI 是 怎样 工作 的 呢 ?” 管 案 是 CLI 应 用 程序 调用 特定 
的 OpenStack 组 件 API。 特定 组 件 API 接口 有 很 多 来 源 , 包括 其 他 API 和 关系 型 数据 库 。 这 点 同 
样 也 适用 于 第 2 草 使 用 的 Dashboard。 所 有 OpenStack 交互 最 终 还 是 回 到 OpenStack API 层 。 

显然 OpenStack API 回 有 的 厂商 中 立 特 性 是 OpenStack 的 一 大 优点 。OpenStack API 的 所 有 用 
法 需要 专门 写 一 本 书 才 能 介绍 完整 。 人 们 在 与 外 部 系统 集成 或 者 调试 OpenStack 代码 时 才 会 看 
API 层 。 需 要 记 住 的 是 ， 所 有 的 操作 都 会 发 给 OpenStack API。 如 果 对 其 感 兴趣 ， 可 以 查看 下 面 
的 “调试 CLL/ 雄 露 API” 部 分 。 

可 能 通过 代码 清单 3-4 中 的 例子 开始 直接 使 用 OpenStack API。 这 个 命令 会 查询 OpenStack 
API 来 获取 信息 ， 然 后 以 JSON (JavaScript Object Notation ) 格式 返回 。 通 过 Python 把 JSON 解 
析 成 便于 阅读 的 格式 ， 然 后 显示 出 来 。 














代码 清单 3-4 ”执行 第 一 条 AP1 命令 





Ed 


-Q_ '{"auth": {"passwordCredentials": \ 用 你 

尔 的 下 地 址 取代 10.0.2.32 
{"username":"demo", "password":"devstack"}, \ 
"tenantName":"demo"}}' -H "Content-type: application/json" | \ 


Python -m json.tool 


调试 CLI/ 暴 露 AP| 


如 果 设 置 了 调试 ( debug ) 标志 ， 那 么 每 条 CL| 命令 都 会 输出 相应 的 AP| 命令 。 为 具体 CLI 命令 
开启 调试 模式 ， 如 下 面 代 码 所 示 ， 在 命令 其 他 变量 前 增加 --debug 人 参数: 


devstack@devstack:~$ nova -debug image—-list 


RO nl nN O00 0 eolkenms 

>OSM Em ere nn 

-H "Accept: application/jJson" 

-H "User-Agent: python-novaclient™" 

-Q '{"auth": {"tenantName": "admin", "passwordCredentials": 


{"username": "admin", "password": "devstack™}}}' 


现在 理解 了 OpenStack CLI 和 API 的 工作 原理 ， 接 下 来 可 以 把 这 些 技术 用 上 。 下 一 市 我 们 会 
介绍 如 何 使 用 CLI 创建 一 个 新 租户 (项 目 )。 这 个 操作 功能 可 以 用 在 每 一 个 部 门 、 用 户 或 者 想 用 
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来 与 其 他 租户 隔离 的 项 目 。 
Vv ” 租 尸 模型 操作 


OpenStack 原生 就 是 多 租户 感知 的 。 如 第 2 章 介 绍 的 那样 ， 可 以 把 OpenStack 部 署 看 成 是 一 
家 酒店 。 没 有 房间 ， 宾 客 是 不 能 入 住 的 ， 因 此 可 以 把 租户 看 成 是 酒店 房间 。OpenStack 这 间 酒 店 
提供 的 是 计算 资源 ,而 不 是 床 和 电视 。 就 像 酒 店 房 间 有 相应 配置 一 样 ( 单 床 或 者 双 床 、 套 则 或 者 
房间 等 )， 租 户 也 是 如 此 。 资 源 的 数量 (vCPU 、RAM、 存 储 等 )、 镜 像 (特定 租户 软件 镜像 ) 和 
网 络 配 置 都 是 基于 特定 租户 的 配置 。 用 户 与 租户 是 独立 的 概念 , 但 用 户 可 以 在 特定 租户 里 拥有 某 
种 角色 。 一 个 用 户 可 以 在 多 个 租户 拥有 管理 员 角 色 。 每 次 增加 新 用 户 到 OpenStack， 都 分 配 他 们 
到 各 个 租户 。 每 次 新 实例 ( 虚拟 机 ) 的 创建 ， 必 须 是 在 某 个 租户 内 。 所 有 OpenStack 资源 的 管理 
都 是 基于 租户 资源 的 管理 。 

为 访问 的 OpenStack 资源 都 是 基于 租户 配置 ， 所 以 必须 理解 如 何 创建 新 的 租户 、 用 户 、 角 
色 和 配额 。 在 第 2 昔 中 ， 使 用 DevStack 创建 了 几 个 样 例 租户 和 用 户 。 接 下 来 一 节 将 从 零 开始 创 
建新 的 租户 和 相关 的 对 象 。 作 为 OpenStack 管理 员 ， 这 是 最 常见 的 任务 。 一 个 部 门 或 者 一 个 项 目 
也 许 就 是 一 个 新 租户 。 租 户 是 在 OpenStack 里 用 来 划分 和 管理 配置 与 资源 的 最 根本 方式 。 
























































3.3.1 租户 模型 


在 开始 创建 租户 和 用 户 映 份 对 象 之 列 ， 有 必要 先 了 解 这 些 对 象 则 的 关系 。 使 用 OpenStack 
酒店 这 个 类 比 ， 图 3-1 展示 了 OpenStack 里 租户 、 成 员 、 和 角色 的 相互 作用 。 可 以 看 出 角色 在 用 
户 指 小 到 租户 前 , 与 租户 是 相互 独立 的 。 可 以 看 到 用 户 在 General 租户 内 是 aqamin (管理 员 )， 
在 Another 租户 内 是 Member (成 员 )。 用 户 和 角色 都 与 租户 有 一 对 多 的 关系 。 在 本 章 下 面 的 
例子 中 会 创建 图 3-1 中 的 多 个 组 件 。 

如 图 3-1 所 示 ，OpenStack 是 用 租户 来 组 织 角色 分 配 的 。 在 OpenStack 中 ,所 有 资源 配置 (用 
户 角 色 、 实 例 、 网 络 等 ) 都 是 基于 租户 隔离 来 组 织 的 。 在 OpenStack 术语 里 ， 租 户 (tenant ) 与 
项 目 (project) 等 价 ， 因 此 可 以 考虑 使 用 租户 来 对 特定 项 目 或 组 织 进行 划分 。 角 色 在 租户 之 外 定 
义 是 没有 任何 意义 的 , 用 户 创建 时 可 以 指定 租户 。 在 创建 用 户 时 ， 可 以 把 它 创 建 在 一 个 部 门 租户 
内 (例如 ， 在 General 租户 内 创建 用 户 John Doe )， 然 后 分 配 一 个 角色 到 其 他 租户 〈John Doe 
是 Another 租户 里 的 Member )。 也 就 是 说 ,每 个 租户 可 以 有 角色 为 Member 的 特定 用 户 , 但 特 
定 用 户 只 能 有 一 个 主 租户 。 

本 节 将 会 用 OpenStack CLI 演示 例子 。 跟 使 用 Dashboard 一 样 简单 ， 但 用 CLI 演示 会 更 加 有 人 解 
释 性 ， 因 为 CLI 让 你 关注 于 处 理 这 些 功能 的 请 求 发 给 特定 的 CLI 应 用 程序 。 当 用 Dashboard 时 ， 
很 难 知道 哪个 组 件 控制 哪些 功能 。 一 旦 理解 了 CLI 的 过 程 ， 再 使 用 Dashboard 就 是 小 菜 一 碟 了 。 



































使 用 第 2 章 中 介绍 的 DevStack 本 章 介绍 的 例子 都 是 基于 第 2 章 中 DevStack 部 署 的 OpenStack 
实例 进行 操作 。 如 果 已 经 有 了 第 2 章 设置 好 的 OpenStack 实例 ， 那 么 可 以 准备 运行 本 章 的 例子 。 
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OpenStack 酒 店 





租户 = 项 目 酒店 房间 






一 个 名 为 
一 个 名 为 Another 
General 的 租户 的 租户 
新 用 户 John Doe 
Another 
Openstack 角 人 色 : 
() a 用 户 : 站 


John Doe 


角色 : member 




















/ 


一 个 新 用 户 Rs 同一 个 用 户 可 以 
被 分 配 到 一 在 不 同 租户 里 有 
个 租户 不 同 的 角色 


3-1 OpenStack 身份 认证 服务 ( Keystone ) 里 租户 、 用 户 和 角色 的 关系 。 租 户 可 以 看 成 是 
项 目 或 者 部 门 。 就 像 酒店 房间 ， 有 不 同 的 配置 


在 代码 清单 3-1 中 ， 设 置 了 环境 变量 为 Demo 租户 内 的 Demo 用 户 。 因 为 将 会 创建 一 个 新 租 
户 ， 所 以 要 把 环境 变量 设置 为 Adqmin 租户 内 的 Rdmin 用 户 ， 如 代码 清单 3-5 所 示 。 


代码 清单 3-5 ”设置 shell 会 话 为 admin 





为 shell 上 自动 完成 设置 变量 ， 在 输入 “something /bo” 
后 按 Tab 键 就 能 完成 “something /boot” 、 
source /opt/stack/python-novaclient/tools/nova.bash completion 


UG ro 





以 便当 你 运行 OpenStack CLI 命令 时 ， 你 的 身份 将 是 < 租 
户 ， admin> 里 的 < 用 户 . admin> 
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admin 或 demo 前 一 节 中 设置 了 demo 用 户 。 在 Linux 下 ,没有 必要 以 root 用户 操作 ， 因 
为 这 样 很 容易 造成 意外 舱 溃 。 类 似 的 ， 在 OpenStack 里 以 admin 用 户 运 行 命令 也 不 是 一 个 
多 习 眉 


3.3.2 ”创建 租户 、 用 户 和 角色 

本 节 将 会 创建 一 个 新 的 租户 和 用 户 。 然 后， 在 这 个 租户 内 分 配 一 个 角色 给 这 个 用 户 。 
1. 创建 租户 

使 用 代码 清单 3-6 所 示 的 命令 来 创建 新 租户 。 


代码 清单 3-6 ”创建 新 租户 





keystone tenant-create 一 -name General 


执行 上 述 命 令 后 ， 会 看 到 以 下 输出 : 


二 下 十 
| Property | Value | 
再 二 三 拓 到 三 二 二 三 三 二 二 翅 EE 十 
| description | | 
| enabled | True | 
| ge | | 9932pbc0607014caeab4c3d2b94d5a40c | 
| name | General | 
十 一 一 一 一 一 一 二 一 一 一 一 一 一 EE 十 


创建 的 这 个 租户 在 创建 其 他 OpenStack 对 象 时 要 用 到 。 记 下 这 步 生 成 的 租户 ID , 将 会 在 接 下 
来 几 步 用 到 。 图 3-2 展示 了 创建 的 租户 。admin 和 Member 角色 是 DevStack 部 署 OpenStack 过 
程 中 创建 的 。“ 列 举 租户 和 角色 ”部 分 解释 了 如 何 列 举 某 个 OpenStack 部 署 的 所 有 租户 和 角色 。 


OpenStack 身 份 认证 服务 
(代码 名 称 : Keystone) 


General 





新 创建 的 租户 
3-2 ”创建 的 租户 
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列举 租户 和 角色 
可 以 用 以 下 命令 列举 系统 上 的 所 有 租户 : 


devstack@devstack:~/devstack$ Keystone tenant—-list 


十 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 十 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 十 一 一 一 一 一 一 一 一 一 十 
| id | name | enabled | 
十 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 十 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 十 一 一 一 一 一 一 一 一 一 十 
| 9932bc0607014caeab4c3d2b94d5a40c | General | | 
Deres2F402502244t89 6047 61701asee | admin | | 
| 166c9cab07122409d8dbc2085acea70d4 | alt_demo | El | 
324d /47VC2514B60ac0ae4l reeS3eereo | demo | | 
atesotaoacad la ro OF ar et or ai | 
| 81548fee3bb84e7db93ad4c917291473 | Sr | a 
十 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 十 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 十 一 一 一 一 一 一 一 一 一 十 


可 以 用 下 列 命 令 列举 系统 上 的 所 有 角色 : 


devstack@devstack:~/devstack$ keystone role-list 


nn 一 一 一 二 一 一 一 一 一 一 一 一 一 一 一 一 十 
REG| name | 
0 下 二 十 
| 4b303alc20d64deaa6cb9c4dfacc33a9 | Member | 
| 291gd6a3008c642ba8439e42c95de22d0 | ResellerAdmin | 
| 9fe2ff9ee4384b1894a90878d3e92bab | en 
| 714aaa9d30794920afe25af4791511lal | admin | 
oDlR21ade yl T00205e0nl anotherrole 

| b4183a4790e1l4ffdaa4995a24e08b7a2 | Scnsvaiee | 
0 和 十 

2. 创建 用 户 





现在 已 经 创建 了 租户 ， 可 以 用 代码 清单 3-7 所 示 的 命令 创建 新 用 户 。 


代码 清单 3-7 创建 新 用 户 





告诉 OpenStack 冉 份 认证 服务 ( Keystone ) 
要 创建 新 用 户 


,y 设置 用 户 名 为 johndoe 
keystone user—-create We 


-—-name=johndoe Se 
-pass=openstackl 二 一 设置 johndoe 的 密码 为 openstackl 


——tenant-id 9932pbc0607014caeab4c3d2b94d5a40c 


-email=johndoe@testco.com ee 


执行 上 述 命令 后 ,会 得 到 如 下 输出 : 


= 只 一 一 - 
设置 johndoe 的 默认 租户 为 General 


设置 johndoe 的 email 为 johndoe@testco.com 
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十 
| 
| 
| 
| 
| 
| 








人 十 Ceneral 

| Property | Value | 

二 EE 十 

| email | johndoeltestco.com | 

| enabled | True | 

| | | 21b27q5f7ba04817894d290b660f3f44 | 

| name | johndoe | 

| tenantId | 9932bc0607014caeab4c3d2b94q5a40c | 

夺 汪 二 二 和 十 

现在 已 经 创建 了 新 用 户 。 记 下 这 步 生成 的 用 户 也， 因为 在 下 一 步 要 中 
用 到 。 如 图 3-3 所 示 ， 租 户 General 包含 了 刚 创建 的 用 户 。 ee 

列举 某 个 租户 的 用 户 


可 以 用 下 面 的 命令 来 列举 茶 个 租户 内 的 所 有 用 户 : 


devstack@devstack:~/devstack$ keystone user-list \ 


lan sel 9932bc0607014caeab4c3d2p94d5a40c” 一 一 一 、 为 租户 指定 tenant-id,， 在 本 


DE A ER 三 全 本 人 让 本 于 全 1 例子 中 是 General 
| id | name enaplean| email | 
十 一 一 一 一 一 一 一 一 一 一 一 一 一 + 一 一 一 一 一 一 一 一 一 十 一 一 一 一 一 一 一 一 一 十 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 十 
bonne TEUS | johndoe@testco.com | 
十 一 一 一 一 一 一 一 一 一 一 一 一 一 + 一 一 一 一 一 一 一 一 一 十 一 一 一 一 一 一 一 一 一 十 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 十 


现在 需要 分 配角 色 给 新 租户 内 的 新 用 户 。 接 下 来 会 进行 这 步 操作 。 
3. 分 配角 色 


为 了 在 特定 租户 内 分 配角 色 给 用 户 ， 需 要 用 到 tenant-id、user-id 和 role-iqd。 

现在 可 以 使 用 本 市 开始 创建 的 General 租户 和 上 一 步骤 创建 的 johndoe 用 户 。 想 要 允许 
用 户 johndoe 在 租户 General 内 创建 实例 ， 必 须 在 租户 General 里 分 配 Memberrole-id 
给 用 户 johndoe。 

要 找到 Memberrole-id， 需 要 查询 OpenStack Identity 角色 ， 如 代码 清单 3-8 所 示 。 











代码 清单 3-8 列举 OpenStack 角色 








keystone role-list 


角色 列表 看 起 来 是 这 样 的 : 


列举 OpenStack 部 署 的 所 有 角色 











| 4b303alc20d64deaa6cb9c4dfacc33a9 | Member | 
| 291gd6a3008c642ba8439e42c95de22d0 | ResellerAdmin | 
| 9fe2ff9ee4384b1894a90878d3e92bab | _member_ | 
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| 714aaa9q30794920afe25af4791511al | admin | 
| b2b1621gddc7741lbd8ab90221907285e0 | anotherrole | 
| b4183a4790e1l4ffdaa4995a24e08b7a2 | service | 
A es 十 


现在 已 经 有 了 全 部 条 件 , 你 需要 将 新 创建 的 租户 的 Member 角色 分 配给 新 创建 的 用 户 。 执行 
代码 清单 3-9 所 示 的 命令 ， 可 以 为 你 的 系统 替换 合适 的 ID。 





代码 清单 3-9 ”分 配角 色 

告诉 OpenStack 里 份 认 证 服务 
7/ ( Keystone ) 为 用 户 分 配角 色 到 租户 
4 分 配 tenant-id 
二 分 配 user-id 


所 一 分 配 role-id 


keystone user-role-add \ 
——tenant—-id 9932bc0607014caeab4c3d2pb94d5a40c \ 
—-—user-id 21b27d5f7ba04817894d290b660f3f44 \ 
-role-id 4b303alc20d64deaa6cb9c4dfacc33a9 


如 果 执 行 成 功 ， 这 条 命令 是 没有 输出 的 。 

现在 ,已 经 在 租户 里 分 配 了 角色 给 用 户 。 图 3-4 展示 了 刚刚 在 
General 租户 内 分 配给 用 户 johndoe 的 角色 。 

到 这 里 , 可 以 访问 OpenStack Dashboard 和 以 用 户 johndoe 和 
密 但 openstack1 进行 登录 。 登 录 后 ,可 以 看 到 租户 /项 目 General 
的 管理 界面 。 如 条 试图 创建 新 的 实例 ， 就 会 发 现 没有 网 络 。 接 下 来 
会 创建 一 个 新 的 租户 网 络 。 


3.3.3 ”租户 网 络 3-4 分配 角色 
OpenStack 网 络 ( Neutron ) 让 人 既 爱 义 恨 。 为 了 让 爱 比 恨 多 ， 你 应 该 尽早 接触 它 。 本 市 会 介 
绍 一 些 简单 的 租户 网 络 配置 。 
首先 ， 必 须 理解 传统 的 为 虚拟 和 物理 机 需 配 置 的 “ 忆 平 ”网 络 和 将 被 演示 的 OpenStack 网 络 
的 基本 差异 。 扁 平 这 个 术语 说 明了 虚拟 服务 平台 没有 虚拟 路 由 层 这 部 分 ; 在 传统 配置 里 ,虚拟 机 
可 以 直接 访问 一 个 网 络 ， 就 像 把 一 个 物理 设备 插入 到 物理 交换 机 一 样 。 网 3-5 展示 了 连接 到 物理 
路 由 硕 的 一 个 己 平 网 络 。 


eneral 








广域网 : 
公 网 地 址 


hypervisor 





一 一 一 物理 路 由 器 


虚拟 机 
到 3-5 传统 路 由 网 络 
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在 这 种 类 型 的 部 车 中 ,所 有 人 简单 交换 ( OSI 模型 的 L2 层 ) 之 外 的 网 络 服 务 (DHCP 、 人 负载 均 
衡 和 路 由 等 )， 必 须 由 虚拟 环境 外 部 提供 。 很 多 系统 管理 员 对 这 种 配置 非常 熟悉 ， 但 现在 不 会 用 
这 种 类 型 来 展示 OpenStack 的 能 力 。 你 可 以 把 OpenStack 网 络 配置 得 跟 传 统 届 平 网 络 一 样 ， 但 这 
样 限 制 了 OpenStack 框架 发 挥 其 优势 。 

本 节 会 从 雪 开 始 创建 OpenStack 租户 网 络 。 图 3-6 展示 了 将 要 创建 的 网 络 类 型 和 传统 网 络 的 











WAN: 公共 网 络 : 
公 网 地 址 192.168.1.0/24 General 
CO 一 General 
ey pn ey pe CD > 
和 aa 一 路 由 器 
一 General 网 络 : 2 
因特网 4 人 一 172 24 220.0/24 一 <P 
4 物理 路 由 器 o 
VM 


OpenStack 网 络 (Neutron) 
3-6 OpenStack 租户 网 络 





注意 ， 与 传统 局 平 网 络 相 比 ，OpenStack 租户 网 络 在 虚拟 环境 内 部 包含 一 个 额外 的 路 由 姨 。 
这 个 租户 内 和 额外 的 虚拟 路 由 帮 把 图 3-6 中 名 为 General 网 络 的 内 部 网 络 从 名 为 公共 网 络 的 外 部 网 
络 隔 离开。 虚拟 机 与 其 他 虚拟 机 通信 使 用 内 部 网 络 ， 图 3-6 中 名 为 General 路 由 器 的 虚拟 路 由 器 
在 租户 外 使 用 外 部 网 络 通 信 。 





设置 环境 变量 ”下面 各 小 节 的 配置 都 需要 设置 好 OpenStack CLI 环境 变量 ,通过 执行 代码 清单 3-5 
中 的 命令 来 设置 环境 变量 。 


1， 网 络 (Neutron) 控制 台 


Neutron 命令 可 以 通过 Neutron 控制 台 (与 网 络 路 由 右 或 交换 机 的 命令 行 类 似 ) 或 者 直接 通 
过 CLI 输 入 。 如 果 知 道 要 做 什么 ， 用 控制 台 会 非常 顺手 ， 适 合 束 悉 Neutron 命令 设置 的 人 使 用 。 
为 清晰 起 见 ， 本 书 会 使 用 CLI 命令 来 演示 每 一 个 单独 的 命令 。 通 过 Neutron CLI 和 控制 台 ， 可 以 
做 很 多 在 Dashboard 做 不 了 的 事情 。 

Neutron 控制 台 和 Neutron CLI 间 的 差异 会 在 下 一 小 方 介绍 。 虽 然 本 章 的 例子 都 是 使 用 
CLI， 但 也 有 必要 知道 如 何 访问 Neutron 控制 台 。 如 代码 清单 3-10 所 示 ， 使 用 命令 neutron 
非常 简单 。 
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代码 清单 3-10 ”访问 Neutron 控制 台 





devstack@devstack:~/devstacks$ neutron 


”~ 使 用 不 带 参 数 的 命令 neutron 会 进入 


(neutron) help 


控制 台 
Shell commands (type help <topic>): 
ee 一 所 有 子 命令 会 列 在 这 里 


(neutron) 


现在 可 以 访问 Neutron 交互 式 控制 台 了 。 任何 CLI 配置 可 以 在 这 个 交互 式 控 制 台 或 者 下 接 在 
命令 行 上 执行 。 下 面 将 会 通过 它 创 建 一 个 新 的 网 络 。 


2. 创建 内 部 网 络 


创建 基于 租户 的 网 络 的 第 一 步 , 是 在 租户 内 配置 直接 被 实例 使 用 的 内 部 网 络 。 内 部 网 络 工作 
在 ISO 第 2 层 (L2), 因此 这 种 网 络 类 型 是 虚拟 的 , 相当 于 专门 在 这 个 特定 租户 内 提供 网 络 交 换 。 
代码 清单 3-11 展示 了 为 租户 创建 网 络 的 命令 。 

















代码 清单 3-11 创建 一 个 内 部 网 络 





告诉 OpenStack 网 络 (Neutron ) 创建 新 网 络 


devstack@devstack:~/devstack$ neutron net-create \ 的 
——tenant-id 9932bc0607014caeab4c3dqd2pb94q5a40c \\ 
ee 


GENERAL NETWORK Ws 


指定 租户 网 络 的 名 称 


定 要 创建 网 络 的 租户 


网 络 创建 后 可 以 看 到 下 面 的 输出 : 


Created a new network: 


下 ee + 
| Field | Value | 
ee 于 二 计 二 二 + 
| admin_state_ up | True | 
| ia | 35a387fd-892f-47ad-a226-e8d0f£f2f£f0636b | 
| name | GENERAL_ NETWORK | 
| provider:network_ type | local | 
| provider:physical network | | 
| provider:segmentation id | | 
| shared | False | 
| status | ACTIVE | 
| subnets | | 
| tenant_id | 9932bc0607014caeab4c3d2b94d5a40c | 
十 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 十 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 + 


图 3-7 展示 了 创建 的 租户 网 络 GENERAL_NETWORK。 图 3-7 中 显示 了 这 个 网 络 连接 到 一 个 虚 
拟 机 ， 一 旦 创建 一 个 新 的 实例 并 连接 到 这 个 网 络 ， 将 会 准确 无 误 。 
现在 已 经 创建 了 一 个 内 部 网 络 ， 下 一 步 是 为 这 个 网 络 创建 内 部 子 网 。 
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General 


虚拟 机 


OpenStack 网 络 (Neutron) 
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3. 创建 内 部 子 网 


刚才 在 租户 内 创建 的 内 部 网 络 是 完全 与 其 他 租户 隔绝 的 。 经 
各 使 用 物理 服务 亏 或 者 甚至 直接 把 虚拟 机 又 露 到 物理 网 络 的 旋 
者 可 能 会 对 这 个 概念 感到 阳 和 后 。 绝 大 多 数 人 是 把 服务 需 连 接 到 由 
数据 中 心 或 者 企业 内 部 提供 的 网 络 或 者 网 络 服务 。 我 们 通 稼 不 会 
认为 网 络 和 计算 可 以 被 相同 的 框 染 来 控制 。 

如 上 文 所 提 ，OpenStack 可 以 配置 使 用 扁平 网 络 ， 但 让 
OpenStack 管理 网 络 栈 还 有 很 多 好 处 。 本 节 会 介绍 租户 内 了 于 网 的 
创建 ， 可 以 把 它 想 像 成 是 为 租户 的 ISO 3 层 (13 ) 服务 。 你 可 能 
会 想 ,“ 你 在 说 什么 ?你 不 能 在 网 络 里 提供 L3 服务 !1” 或 者 “我 
已 经 有 L3 服务 集中 在 数据 中 心 ， 我 不 想 OpenStack 为 我 提供 这 
个 1” 阅 读 完 本 方 ， 或 者 也 许 是 阅读 完 本 书 ， 你 会 得 到 这 些 问 题 




















的 管 案 。 暂 时 只 需要 相信 通过 OpenStack 网 络 可 以 提供 更 丰富 的 高 级 网 络 虚拟 化 功能 , 会 让 你 受 


葵 菲 浅 。 








为 某 个 网 络 创 建 子 网 意味 着 什么 ”基本 是 定义 需要 的 网 络 , 定义 计划 在 这 个 网 络 上 使 用 的 地 
址 范围 。 在 这 个 例子 中 ， 将 会 为 租户 General 的 GENERAL_NETWORK 网 络 创 建新 的 子 网 。 创 





建 时 还 必须 提供 子 网 地 址 的 范围 。 在 这 里 ,术语 子 网 既 表 示 作 为 OpenStack 网 络 一 部 分 而 被 定义 
的 OpenStack 子 网 ， 也 表示 作为 OpenStack 子 网 创建 过 程 的 一 部 分 而 被 定义 的 王子 网 。 可 以 使 用 
租户 内 或 者 共享 租户 未 使 用 的 地 址 范围 。OpenStack 比较 有 意思 的 是 可 以 为 每 个 租户 的 每 个 内 部 
子 网 使 用 相同 的 地 址 范围 。 

代码 清单 3-12 展示 了 创建 子 网 的 命令 。 








代码 清单 3-12 ”为 网 络 创建 子 网 








告诉 OpenStack 网 络 ( Neutron ) 创建 新 子 网 


指定 要 创建 子 网 的 租户 
neutron subnet—-create \ = 一 / 
——tenant—-id 9932pbc0607014caeab4c3d2b94d5a40c \\ = 
-者 -一 


GENERAL NETWORK \ 
172.24.220.0/24 





下 


指定 要 创建 子 网 的 网 络 名 称 
以 CIDR 标记 法 指定 子 
网 内 部 网 络 的 范围 


执行 命令 后 ， 将 会 得 到 下 面 的 输出 : 


Created a new subnet: 


十 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 十 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 + 


| Field 


| allvestion esols | Tetase™nl7?.24.220.27 "Tengerm172 24.2202254" | 


| cidr 


| 了 L722. 训 


4.220.0/24 | 
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dns_nameservers | | 
True 
172.24.220.1 


| 

| enable_dhcp 
| gateway_ip 
| host_routes 
| 
| 

| 

| 


40d39310-44a3-45a8-90ce-b04bl9eb5bb7 


name | 
| 


ip_version 4 

network_id 35a387fd-892f-47ad-a226-e8d0f2f0636b | 

tenant_id 9932bc0607014caeab4c3d2b94d5a40c | 
SS Se eR 十 


无 类 别 域 间 路 由 


无 类 别 域 间 路 由 ( Classless Inter-Domain Routing，CIDR ) 是 一 种 表现 子 网 的 紧凑 方式 。 

对 于 内 部 子 网 , 绝 大 多 数 用 户 用 的 是 私有 的 C 类 地 址 范围 ,实际 上 就 是 原本 公 网 分 类 里 的 C 类 范 
围 。 在 C 类 范围 里 ， 使 用 8 位 的 子 网 掩 码 ， 因 此 共有 2 = 256 个 地 址 ， 但 CIDR 以 < 首 地 址 >/< 主 机 
比特 字段 大 小 > 的 形式 表现 ， 本 例 中 为 32 位 -8 位 =24 位 。 

如 果 你 对 二 进 制 计算 不 熟悉 的 话 ， 看 起 来 可 能 有 点 难 理解 ， 但 壮 运 的 是 有 很 多 在 线 的 子 网 计算 器 
EB 


现在 创建 了 GENERAL_NETWORK 网 络 的 子 网 。 图 3-8 展示 了 子 网 到 GENERAL_NETWORK 的 
分 配 。 这 个 子 网 还 是 孤立 的 ， 接 下 来 的 步 骂 可 以 把 私有 网 络 连接 到 公共 网 络 。 
下 面 添加 一 个 路 由 帮 到 刚 创建 的 子 网 。 记 下 子 网 的 ID， 因为 下 一 记 会 用 到 。 


4. 创建 路 由 器 


简单 来 说 ， 路 由 需 就 是 对 接口 间 的 流量 进行 路 由 。 在 这 个 例子 中 , 已 经 在 租户 内 有 一 个 独立 
的 网 络 ， 然 后 想 与 其 他 租户 网 络 或 者 OpenStack 以 外 的 网 络 通信 。 代码 清 单 3-13 展示 了 如 何 创 
建 一 个 新 的 租户 路 由 髓 。 








代码 清单 3-13 ”创建 一 个 路 由 器 





告诉 OpenStack 网 络 ( Neutron ) 
创建 新 路 由 希 


neutron router-create \ 
——tenant-id 9932bc0607014caeab4c3d2b94d5a40c \ 所 一 一 


GENERAL_ ROUTER 一 “指定 要 创建 路 由 的 租户 
、 指定 路 由 器 的 名 称 
路 由 需 创 建 好 后 会 得 到 下 面 的 输出 : 


Created a new router: 


| admin_state_up | 于 EE | 


| external_gateway_info | | 
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| ia | df3b3d29-104f-46ca-8b8d-50658aea3f24 | 
| name | GENERAL ROUTER | 
| status | | 


tenant_id 9932bc0607014caeab4c3d2b94d5a40c | 





图 3-9 展示 了 在 租户 内 创建 的 路 由 需 。 


General General 


General 
一 人 > 
ES 路 由 器 


General 网 络 : 
172.24.220.0/24 












General 网 络 : 
172.24.220.0/24 


OpenStack 网 络 (Neutron) OpenStack 网 络 (Neutron) 
3-8 新 创建 的 内 部 子 网 3-9 ”新 创建 的 内 部 路 由 器 


现在 有 了 一 个 新 的 路 由 器 ， 但 租户 路 由 器 和 子 网 还 没有 连接 。 代 码 清单 3-14 展示 了 如 何 连 
接 子 网 到 路 由 器 。 


代码 清单 3-14 ”添加 路 由 器 到 内 部 子 网 
neutron router-interface-add \ 一 告诉 OpenStack 网 络 ( Neutron ) 添加 内 部 子 网 到 路 由 硕 


df3b3d29-104f-46ca-8b8d-50658aea3f24 一 指定 路 由 需 ID 
40d39310-44a3-45a8-90ce-b04bl9eb5bb7 专 一 - 指定 子 网 ID 








添加 路 由 亏 后 ， 会 得 到 下 面 的 输出 (ID 是 自动 生成 的 ， General 
此 与 你 的 可 能 不 一 样 ): Gaal 


Added interface 0ala97e3-ad63-45bf-a55f-c7lcd6c8cf4b4 to G | 网 络 
enera sr: 
router df3b3d29-104f-46ca-8b8d-50658aea3f24 172 24 220 0/24 


图 3-10 展示 了 连接 到 内 部 网 络 GENERAL_ NETWORK 2 
的 路 由 器 GENERAL_ROUTER。 | ee 

添加 路 由 器 到 子 网 的 过 程 实际 上 会 在 本 地 虚拟 交换 Le 
机 增加 一 个 端口 (port)。 可 以 把 端口 看 成 是 插入 到 虚拟 网 
络 端口 的 设备 。 在 本 例 中 ， 这 个 设备 是 GENERAL_ 
ROUTER ， 网 络 是 GENERAL_NETWORK， 子 网 是 172.24. OpenStack 网 络 (Neutron) 
220.0/24。 图 3-10 ”连接 路 由 器 到 内 部 网 络 
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DHCP 代理 在 旧版 本 的 OpenStack 网 络 中 , 你 必须 手动 添加 DHCP 代理 到 网 络 中 一 一 DHCP 代 
理 为 实例 提供 IP 地址 。 在 当前 版 本 ,这 个 代理 会 在 首次 创建 实例 时 自动 添加 ， 但 在 高 级 配置 里 ， 
这 些 代 理 ( 各 种 类 型 ) 也 可 以 通过 Neutron 手动 添加 。 


路 由 需 使 用 创建 子 网 时 指定 的 地 址 (默认 是 第 一 个 可 用 地 址 )， 在 这 个 网 络 创建 实例 之 前 ， 
这 个 路 由 需 是 这 个 网 络 的 首 个 端口 (设备 )。 创建 实例 后 ， 可 以 与 路 由 需 地 址 172.24.220.1 通信 ， 
但 还 是 不 能 路 由 网 络 包 到 其 他 网 络 。 路 由 需 只 连接 到 一 个 网 络 没 有 多 大 用 处 , 因此 下 一 步 会 把 这 
个 路 由 需 连 接 到 公共 网 络 。 


5. 连接 路 由 器 到 公共 网 络 


在 添加 公共 网 络 接口 前 ,必须 找到 它 。 在 前 面 的 步骤 中 , 已 经 创建 了 一 个 内 部 网 络 、 内 部 子 
网 和 路 由 瘟 ， 因此 可 以 找到 它们 的 ID。 如 宁 正 在 使 用 第 2 章 中 DevStack 部 著 的 OpenStack 环境 ， 
就 已 经 有 了 一 个 公共 网 络 接 口 。 代 人 码 清 单 3-15 展示 了 如 何 列举 外 部 网 络 。 





代码 清单 3-15 ”列举 外 部 网 络 


neutron net-external-list 
执行 上 述 命令 后 会 得 到 下 面 的 输出 。 如 果 外 部 网 络 不 存在 , 那么 可 以 跳 到 下 一 小 市 “创建 外 
部 网 络 ” 来 创建 一 个 新 的 外 部 网 络 。 





ID 和 子 网 字段 已 缩减 ， 以 适应 页 面 


(neutron) net—-external—list 

ts es ee + \ 
| id | name | subnets | 

于 二 二 一 三 二 二 二 三 三 三 二 一 二 三 三 机 三 且 司 三 三 于 三 下 二 + 

| 4eed3f..34b23d | public | e9643dc8...df4d34099109 192.168.1.0/24 | a 
二 十 二 一 一 一 一 二 一 一 十 下 + 


现在 列举 了 所 有 公共 网 络 ; 记 下 网 络 ID。 在 本 例 中 ， 只 有 一 个 公共 网 络 , 但 在 生产 环境 中 
经 党 有 多 个 。 可 以 在 列举 的 网 络 中 基于 想 要 的 子 网 选择 适合 的 网 络 ID。 这 个 网 络 ID 与 前 面 的 路 
由 天 ID 一 起 用 来 添加 现 有 公共 网 络 到 路 由 带 。 

在 代码 清单 3-14 中 ， 使 用 命令 router-interface-add 来 连接 内 部 网 络 到 路 由 可 。 
可 以 用 相同 的 命令 来 添加 公共 网 络 , 但 同时 想 要 把 这 个 公共 网 络 作为 路 由 益 网 关 ， 因 此 将 
会 使 用 命令 router-gateway-set。 路 由 带 网 关 将 会 用 来 转换 〈 路 由 ) 从 内 部 OpenStack 
网 络 到 外 部 网 络 的 流量 。 

使 用 代码 清单 3-16 所 示 的 命令 来 添加 公共 网 络 作为 路 由 硒 的 网 天。 





代码 清单 3-16 添加 现 有 的 外 部 网 络 作 为 路 由 器 网 关 
生 诉 ,OpenStack 了 区 络 (Neutron ) 添加 现 有 的 外 部 网 络 作为 路 由 需 网 关 


neutron router-gateway-set \ 性 一 


一 指定 租户 路 由 融 的 ID 


df3b3d29-104f-46ca-8b8d-50658aea3f24 所 一 一 


62 第 3 章 OpenStack 基本 操作 


/指定 现 有 外 部 网 络 的 ID 


4eedq3f65-2f43-4641-b80a-y7c09ce34b23da 
执行 上 述 命令 后 将 会 得 到 下 面 的 输出 : 


Set gateway for router af3b3adq29-104f-4 
6ca-8b8d-50658aea3f24 


图 3-11 展示 了 添加 外 部 网 络 PUBLIC_NETWORK 作为 GENERAL_ROUTER 路 由 器 的 网 关 。 


公共 网 络 : 


192.168.1.0/24 General 
一， 二 项 ER Creneral 
大 路 由 器 
General 网 络 he 


172.24.220.0/24 oe 


虚拟 机 





Openstack 网 络 (Neutron) 
3-11 添加 现 有 的 网 络 作为 路 由 器 网 关 


6. 创建 外 部 网 络 

下 面 小 市 的 配置 需要 如 代码 清单 3-5 所 示 那 样 设置 好 OpenStack CLI 的 环境 变量 。 

在 前 面 的 “创建 内 部 网 络 ”小 节 里 为 特定 租户 创建 了 一 个 网 络 。 本 小 节 将 会 创建 一 个 可 以 被 
多 个 租户 使 用 的 公共 网 络 。 这 个 公共 网 络 可 以 被 添加 到 私有 路 由 需 上 作为 网 关 , 如 前 面 一 方 所 述 。 


使 用 第 2 章 中 的 DevStack 网 络 


本 节 中 的 例子 使 用 第 2 章 中 通过 DevStack 部 署 的 OpenStack 实例 。 在 第 2 章 的 部 署 中 ， 提 供 了 
必需 的 网 络 配置 来 允许 额外 的 外 部 网 络 。 如 果 正 在 使 用 第 2 章 的 OpenStack 实例 , 那么 可 以 完成 本 节 
的 例 

在 接 下 来 的 几 章 中 ， 将 会 介绍 手动 配置 网 络 ， 之 前 都 是 DevStack 部 署 帮 我 们 配置 的 。 

在 代码 清单 3-15 中 ， 可 以 看 到 如 何 列 举 “ 外 部 ”网 络 。 如 果 使 用 第 2 草 中 通过 DevStack 部 
署 的 OpenStack 环境 ， 那 么 已 经 存在 一 个 外 部 网 络 。 这 没 问题 ， 因 为 在 OpenStack 网 络 里 可 以 有 
多 个 外 部 网 络 。 

只 有 adqmin 用 户 可 以 创建 外 部 网 络 ， 如 果 不 指定 ， 新 的 外 部 网 络 会 创建 在 admin 租户 里 。 
通过 代码 清单 3-17 所 示 的 命令 可 以 创建 一 个 新 的 外 部 网 络 。 
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代码 清单 3-17 创建 一 个 外 部 网 络 
neutron net-create \ Pe 





告诉 OpenStack 网 络 ( Neutron ) 创建 新 网 络 


new_public 
”指定 网 络 名 称 
——router:external=True -二 一 一 旨 定 这 个 网 络 为 外 部 网 络 


当 网 络 创建 好 后 ， 可 以 看 到 下 面 的 输出 : 


Created a new network: 


OE EE + 
| Field | Value | 
= ES + 
| admin_state_ up | True | 
|: 总 | 8701c5f1-7852-4468-9dae-ff8a205296aa | 
| name | new_public | 
| provider:network_ type | local | 
| provider:physical network | | 
| provider:segmentation id | | 
| router:external | True | 
| shared | False | 
| status | ACTIVE | 
| subnets | | 
| tenant_id | blc52f4025d244f883dd47£f61791d5cf | 
二 二 + 





确认 网 络 的 租户 ”如 果 想 要 确认 这 个 网 络 是 否 创 建 在 admin 租户 
内 ， 可 以 如 3.3.2 市 的 “创建 租户 ”小 市 中 的 “列举 租户 和 角色 
部 分 所 示 来 获取 所 有 租户 ID。 


Admin 





新 的 公共 网 络 
现在 已 经 创建 一 个 外 部 网 络 ， 如 图 3-12 所 示 。 这 个 网 络 是 ep 
在 租户 admin 内 创建 的 ， 现 在 在 租户 General 内 应 该 是 看 不 
到 的 。 


在 使 用 这 个 网 络 作为 租户 路 由 毅 网 天 之 前 ,必须 先 添 加 一 个 
子 网 到 这 个 刚 创建 的 外 部 网 络 。 下 面 介绍 这 个 过 程 。 





/. 创建 外 部 子 网 OpenStack 网 络 (Neutron) 
现在 ， 如 代码 清单 3-18 所 示 创 建 一 个 外 部 子 网 。 3-12 创建 外 部 网 络 


代码 清单 3-18 创建 一 个 外 部 子 网 





告诉 OpenStack 网 络 (Neutron ) 创建 新 子 网 
设置 网 关 地 址 为 第 一 个 可 用 地 址 


neutron subnet—-create \ _/ 
-gateway 192.168.2.1 \ 0 
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ee startsl92.1682,27end=s192,168.25254 Vi 定义 子 网 里 可 分 配 
new_public \ TT 的 地 址 范围 
192.168.2.0/24 、 一 一、 一 定义 子 网 分 配 到 的 外 部 网 络 | 
-enable_qhcp-False 以 CIDR 格式 定义 子 网 


! 指 定 OpenStack 不 会 为 这 个 子 网 提供 DHCP 服务 
子 网 创建 好 后 ， 可 以 看 到 如 下 输出 : 


Created a new subnet: 


十 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 十 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 + 
| Field | Value | 
十 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 十 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 + 
| Ilocationl Bools | "stare"s wig92,.160.2.2": "end: Io92.169.2.254v) | 
| | 192.168.2.0/24 
| dns_nameservers | | 
| enable_dhcp | False | 
| gateway_ip | 192.168.2.1 | 
| host_routes | | 
| ia | 2cfa7201-d7f3-4e0c-983b-4c9f3fcf3caa | 
| ip_version | 4 | 
| name | | 
| network_id | 8701c5f1-7852-4468-9dae-ff8a205296aa | 
| tenant_id | blc52£4025d244f883dd47f£61791d5cf | 
十 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 十 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 + 


现在 分 配 了 子 网 192.168.2.0/24 给 外 部 网 络 new_public。 刚 才 创 建 的 子 网 和 外 部 网 络 ， 
如 图 3-13 所 示 ， 现 在 可 以 用 来 作为 OpenStack 网 络 路 由 硕 的 网 关 了 。 
假如 你 一 直 跟 着 前 面 儿 节 的 例子 操作 ， 图 3-14 展现 了 你 的 环境 当前 的 状态 。 





Admin Admin General 


{reneral 
[ee ' 
性 压 路 由 器 
新 的 公共 网 络 : 本 
192.168.2.0/24 从 夫 网 络 : 
192.168.1.0/24 General 网 络 : PY 


2 172.24.220.0/24 < 下 


四 | “和: 


新 的 公共 网 络 : 
192.158.2.0/24 


虚拟 机 





OpenStack 网 络 (Neutron) Openstack 网 络 (Neutron) 
图 3-13 ”新 创建 的 外 部 子 网 图 3-14 ”租户 的 外 部 网 关 


可 能 你 的 网 络 与 图 3-14 不 一 样 ， 这 里 主要 是 要 说 明 可 以 分 配 两 个 可 能 的 外 部 网 络 给 租户 路 
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由 器 作为 网 关 。new_public 和 PUBLIC_NETWORKS 是 两 个 隔离 的 虚拟 网 络 ， 分 别 分 配 了 两 个 
不 同 的 子 网 。 当 前 分 配 PUBLIC_NETWORK 作为 路 由 天 GENERAL_ROUTER 的 网 关 。 这 意味 看 发 
送 给 你 的 租户 的 任何 没有 直接 网 络 连接 的 实例 网 络 流量 ( 如 访问 互联 网 或 者 其 他 租户 ) 都 会 使 用 
这 个 (网关) 网 络 作为 连接 到 外 部 世界 。 
列举 路 由 器 
可 以 用 下 面 的 neutron router=-list 命令 列举 系统 中 的 所 有 路 由 器 


devstackQ@devstack:~/devstacks$ neutron router--list 


十 一 一 一 一 一 一 一 一 十 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 十 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 十 
le | name exeernal oatewnay nite | 
十 一 一 一 一 一 一 一 一 十 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 十 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 十 
| GliE 6A | GENERAL ROUTER | {"network id": "4e..3d "enable snat": | 
十 一 一 一 一 一 一 一 一 十 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 十 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 十 


移 除 浮动 地 址 ”浮动 地 址 是 与 分 配给 实例 的 内 部 IP 地 址 有 一 对 一 关系 的 外 部 卫 地 址 。 在 移 除 路 
由 器 网 关 之 衣 ， 必 须 从 实例 移 除 浮 动 IP 地 址 并 杰 放 。 浮 动 地 址 直接 关联 到 外 部 网 络 ， 因 此 ， 如 
林 这 个 关联 关系 还 在 的 话 ， 任 何 移 除 这 个 外 部 网 络 的 尝试 肯定 会 失败 。 


假设 你 想 把 当前 的 网 天 从 PUBLIC_NETWORK 换 成 new_public。 首 允 妥 移 除 旧 的 网 关 , 然 
后 添加 新 的 。 代 码 清单 3-19 展示 了 如 何 清 除 现 有 的 网 关 。 


代码 清单 3-19 ”清除 路 由 器 网 关 





告诉 OpenStack 网 络 (Neutron ) 从 
neutron router-gateway—-clear \ 了 路 由 器 上 清除 当前 指定 的 网 关 


df3b3d29-104f-46ca-8b8d-50658aea3f24 一 一 、 、 
指定 你 想 清 除 网 关 的 路 由 融 ID 





网 关 成 功 移 除 后 ， 可 以 看 到 如 下 输出 : 
Removed gateway from router df3b3d29-104f-46ca-8b8d-50658aea3f24 


一 旦 现 有 的 网 关 被 移 除 , 租户 的 配置 状态 就 会 如 图 3-15 所 示 , 没有 外 部 网 络 连接 到 这 个 租户 。 
现在 租户 的 网 络 配 置 回 到 上 文 添加 已 有 外 部 网 络 作为 网 关 之 前 。 现 在 可 以 添加 外 部 网 络 
new_public 代替 PUBLIC_NETWORK 作为 网 关 。 代 码 清单 3-20 展示 了 完成 这 个 网 络 配置 用 到 


的 命令 。 





代码 清单 3-20 NE: Es 


告诉 OpenStack 网 络 (Neutron ) 添加 

一 个 新 的 外 部 网 络 作为 路 由 器 网 关 
neutron router-gateway—set a 
df3b3d29-104f-46ca-8b8d-50658aea3f24 健一 指定 租户 路 由 器 ID 
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8701c5f1-7852-4468-9dqae-ff8a205296aa J s NS 
“一 指定 作为 网 关 的 外 部 网 络 ID 


Admin General 


General 


路 由 器 


General 网 络 : 
172.24.220.0/24 


新 的 公共 网 络 : 
192.158.2.0/24 





OpenStack 网 络 (Neutron) 
3-15 ” 移 除 路 由 器 网 关 


网 关 设 置 成 功 后 ， 会 看 到 下 面 的 输出 : 


Set gateway for router 
df3b3d29-104f-46ca-8b8d-50658aea3f24 


图 3-16 展示 了 在 租户 General 内 分 配 新 的 网 络 new_public 作为 GENERAL_ROUTER 路 
由 器 的 网 关 。 可 以 通过 执行 命令 neutron router-show <router-id> (<router-id> 是 路 
由 需 GENERAL_ ROUTER 的 ID ) 确认 这 个 设置 。 这 条 命令 会 返回 external_gateway_info， 
列举 当前 指定 为 网 关 的 网 络 。 或 者 ， 也 可 以 登录 到 OpenStack Dashboard 查看 租户 网 络 。 此 处 不 
再 是 PUBLIC_NETWORK， 取 而 代 之 的 是 new_public 网 络 。 





Admin General 


公共 网 络 : 
192.168.1.0/24 General 网 络 : 
172.24.220.0/24 


新 的 公共 网 络 : 
192.158.2.0/24 





OpenStack 网 络 (Neutron) 
3-16 ”新 的 网 络 分 配给 路 由 器 作为 网 关 
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现在 ,你 已 经 学 习 如 何 创建 租户 、 用 户 和 网 络 。 租 户 模 型 允许 多 个 用 户 在 相同 的 环境 下 操作 
而 不 互相 影响 。 作 为 OpenStack 管理 员 , 你 肯定 不 希望 单个 租户 可 以 使 用 的 资源 超过 所 有 租户 总 
和 祝 因此 OpenStack 多 个 核心 组 件 都 实现 了 配额 管理 ,包括 计算 . 块 存 储 ' Cinder )、x 氢 髓 。 (Swift) 
和 网 络 服务 。 本 书 的 例子 只 会 使 用 块 存 储 ， 不 会 使 用 对 象 存储 ， 因 此 所 有 的 存储 都 是 指 Cinder， 
而 不 是 Swift。 

接 下 来 会 介绍 配额 。 


Vv 配额 


配额 是 指 应 用 到 租户 和 租户 一 用 户 层面 来 限制 各 个 租户 可 以 使 用 的 资源 的 数量 。 当 创建 新 租 
户 时 , 会 以 默认 配额 配置 。 同 样 ， 当 添加 用 户 到 租户 时 ,租户 配额 就 应 用 到 用 户 。 默 认 所 有 用 户 
拥有 跟 租 户 一 样 的 配额 ,但 也 可 以 减少 租户 内 某 个 用 户 的 配额 ， 独 立 于 整个 租户 配额 。 

考虑 这 样 的 案例 , 一 个 项 目 内 应 用 程序 管理 员 和 数据 库 管理 员 共 享 相同 的 租户 。 你 也 许 想 分 
配 租 户 资 源 的 一 半 给 每 个 用 户 。 但 是 ， 如 有 果 在 租户 内 增加 用 户 的 配额 超过 了 租户 配额 ,那么 租户 
的 配额 会 相应 增加 以 匹配 新 的 用 户 配额 。 

配额 管理 是 OpenStack 管理 员 要 掌握 的 一 个 重要 操作 组 件 。 本 万 的 剩余 部 分 将 会 介绍 通过 计 
算 组 件 使 用 CLI 来 显示 和 更 新 租户 配额 和 租户 用 户 配 额 。 跟 租户 大 多 数 配 置 一 样 ， 可 以 通过 
Dashboard 或 者 直接 使 用 API 来 操作 。 
































3.4.1 租户 配额 
要 修改 配额 设置 ,需要 知道 租户 ID 和 当前 租户 的 用 户 ID。 下 面 的 例子 展示 了 如 何 列举 系统 
中 的 所 有 租户 和 找到 租户 ID: 


devstack@devstack:~/devstack$ keystone tenant-list 





和 Se 于 三 二 一 地 三 二 二 二 一 十 
| id | name | enabled | 
EB 十 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 十 一 一 一 一 一 一 一 一 一 十 
| 9932bc0607014caeab4c3d2b94d5a40c | General | | 
| blc52£4025d244f883dd47f61791d5cf | admin | TE | 
| 166c9cab0722409d8dbc2085acea70d4 | alt_demo | True | 
| 324d7477c2514b60ac0ae417ce3cefc0 | demo | True | 
| fafc5f46aaca4018acf8d05370f2af57 | invisible to admin | Tate | 
| 81548fee3bb84e7db93ad4c917291473 | service | TG | 
ES ee 十 一 一 一 一 一 一 一 一 一 十 








代码 清单 3-21 展示 了 用 来 显示 某 个 租户 配额 设置 的 命令 。 





代码 清单 3-21 显示 租户 的 计算 配额 
告诉 OpenStack 计算 ( Nova ) 显示 配额 信息 


nova quota-show \ -=- 
--tenant 9932bc0607014caeab4c3d2b94d5a40c 所 -一 指定 查询 配额 的 租户 ID 
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配额 信息 将 会 如 下 所 示 ( 参考 OpenStack 操作 手册 里 的 当前 配额 项 和 各 单元 值 : http://docs. 


openstack.org/openstack-ops/content/projects_users.html )。 


3 和 十 
Quota | Limit | 
下 + 二 十 
| instances | 10 | 
| cores | 10 | 
| ram | .T2001| 
| floating_ips We | 
| 并 1S | -1 | 
| metadata_items | 128 | 
| injected files | 5 | 
| injecteqd_ file content bytes | 10240 | 
| injecteqd_ file path bytes | 这 55 | 
| key_pairs | 100 | 
| security_groups | | 
| "Seeuity drou rules W220 | 
于 二 二 一 汪汪 一 二 二 十 


现在 知道 了 分 配给 某 个 租户 的 配额 。 想 要 获取 分 配给 新 租户 的 默认 配额 , 把 命令 中 的 租户 ID 
去 掉 即 可 (nova quota-show )。 

现在 假设 你 是 一 个 OpenStack 管理 员 , 已 经 为 你 公司 的 一 个 部 门 创建 了 一 个 租户 。 这 个 部 门 
申请 部 署 的 新 应 用 需要 的 资源 超过 了 他 们 现 有 的 租户 配额 。 这 种 情况 下 , 你 想 为 整个 租户 提升 配 
额 。 代 码 清单 3-22 所 示 命 令 可 以 实现 这 个 需求 。 


代码 清单 3-22 ”更 新 租户 的 计算 配额 








告诉 计算 服务 你 想 更 新 配额 值 


有 


nova quota-update \ 二- 


一 <quota_key> <quota_value>\、 “一 ~ 分 配 新 的 配额 值 给 指定 的 配额 项 


< 七 enant 一 工 Q> 
指定 你 想 更 新 配额 的 租户 
如 上 文 代码 清单 3-21 所 示 ， 可 以 获取 显示 配额 项 和 值 的 列表 。 在 下 面 的 例子 中 ，cores 
<quota_key> 人 被 更 新 了 。 设置 <quota-key> 为 cores， 
<quota-value> 为 20 


devstack@devstack:~/devstack$ nova quota-update \ 后 
——Cores 20 \ 
9932bc0607014caeab4c3d2b94d5a40c = -一 指定 General 租户 的 ID 


现在 已 经 成 功 更 新 了 租户 配额 , 用 户 现在 就 可 以 开始 分 配额 外 的 资源 。 如 果 返 回 代 码 清单 3-21 
所 示 的 命令 ， 就 可 以 看 到 配额 已 经 被 更 新 了 。 

下 面 会 介绍 在 租户 用 户 层 面 管理 配额 。 你 很 快 就 会 看 到 对 于 某 个 租户 在 用 户 层面 实施 配额 管 
理 可 以 非常 有 效 地 管理 资源 。 
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3.4.2 ”租户 用 户 配 额 


在 某 些 场景 下 ， 可 能 一 个 租户 只 有 一 个 用 户 。 在 这 种 场景 下 ， 只 需要 在 租户 层面 管理 配额 。 
但 如 果 一 个 租户 有 多 个 用 户 呢 ? OpenStack 提供 了 在 租户 层面 管理 每 个 用 户 的 配额 的 功能 。 这 和 意 
味 痢 每 个 用 户 可 以 在 作为 成 员 的 每 个 租户 内 有 独立 的 配额 。 

假设 在 某 个 租户 内 有 角色 的 一 个 用 户 只 负责 一 个 实例 。 除 了 只 对 一 个 实例 负责 外 , 这 个 用 户 
多 次 给 这 个 租户 添加 额外 的 实例 。 这 些 额 外 的 实例 数量 超过 了 整个 租户 配额 ， 因 此, 尽管 这 个 用 
户 应 该 只 有 一 个 实例 , 但 也 许 事实 上 他 们 有 多 个 。 为 了 避免 发 生 这 样 的 事 ， 可 以 在 这 个 租户 内 调 
整 用 户 的 配额 ， 而 不 是 整个 租户 配额 。 代 码 清单 3-23 显示 了 某 个 用 户 的 现 有 配额 。 






































代码 清单 3-23 ”显示 租户 某 个 用 户 的 计算 配额 





nova quota-show \ “指定 要 查询 的 租户 用 户 ID 
—-—user <user_ id> \ i 
-tenant <tenant id> 指定 要 查询 的 租户 ID 





下 面 的 例子 显示 了 在 3.3.2 节 的 “创建 用 户 ” 小 节 创 建 的 用 户 johndoe 的 用 户 ID ， 以 及 在 3.3.2 
节 的 “创建 租户 ”小 节 创 建 的 租户 General 的 租户 ID。 你 的 实际 ID 可 能 跟 例子 中 显示 的 不 一 样 。 


devstack@devstack:~/devstack$ nova quota-show \ 也 指 宋 johndoe 用 户 ID 
--user 21b27d5f7ba04817894d290b660f3f44 \ 二 — 
-tenant 9932bc0607014caeab4c3d2b94d5a40c 梧 -- 


于 二 二 三 二 二 二 过 二 和 生生 二 二 二 二 二 考生 二 二 二 二 二 三 本 二 二 二 二 三 二 二 二 十 ~ 
| Quota | Ti | 指定 General 租户 ID 
ne 由 十 

| instances | 10 | 

| cores | 10 | 

| ram Ws eo | 

| floating_ips | 10 | 

| fixed_ips | -= | 

| metadata_items | 128 | 

| injected_ files | S | 

| injecteqd_ file content bytes | 10240 | 

| injecteqd_ file path bytes 之 本 5 | 

| key_pairs | 100 | 

| security_groups | 10 | 

| security_group_rules | 20 | 
二 十 一 一 一 一 一 一 一 十 





可 以 看 到 用 户 的 配额 大 小 跟 原 始 的 租户 配额 一 样 。 默认 添加 到 租户 的 用 户 可 以 使 用 租户 分 配 
的 所 有 资源 。 对 于 这 个 租户 ,已 经 在 前 面 的 例子 中 更 新 了 core 的 值 ， 但 那 只 更 新 了 租户 配额 ， 
没有 自动 增加 用 户 的 租户 配额 。 

假如 用 户 johndoe 是 一 个 问题 用 户 ， 想 要 限制 他 在 General 租户 里 只 能 运行 单一 实例 。 
代码 清单 3-24 展示 了 可 以 实现 这 个 需求 的 命令 。 
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代码 清单 3-24 更 新 租户 用 户 的 计算 配额 





nova quota-update \ 为 指定 
本 # 定 用 户 的 配额 项 分 
用户 一 本 新 的 本 困 人 
--<cquota_ key> <quota_value> \ 
<tenant id> 专 一 一 指定 租户 ID 


下 面 的 例子 中 ， 用 户 johndoe 被 设置 在 租户 General 里 的 实例 配额 限制 为 1 个 实例 (实例 配 
额 =]1 ): 





指定 用 户 johndoe 的 user-id 
devstack@devstack:~/devstack$ nova ee 
——usSer 21b27dq5f7ba04817894dq290b660f3f44 \ 


--instances 1 \ 一 设置 <quota-key> 为 "instances" 
9932bc0607014caeab4c3d2b94d5a40c 和 <quota-value> 为 | 个 实例 
指定 租户 General 的 tenant-id 
现在 已 经 限制 了 用户 johndoe 只 能 运行 一 个 实例 。 将 来 你 可 能 还 想 限制 每 个 实例 这 个 用 户 


可 以 使 用 的 资源 ， 如 限制 CPU 核心 数量 为 4。 


3.4.3 ”额外 配额 


OpenStack 存储 和 网 络 还 有 其 他 额外 的 配额 系统 。 这 些 配额 系统 的 参数 或 多 或 少 是 相同 的 ， 
但 配额 项 将 会 不 同 。 

可 以 通过 相关 系统 组 件 CLI 命令 访问 每 个 配额 系统 ,对 于 OpenStack 计算 组 件 来 说 是 nova， 
对 于 存储 来 说 是 cinder, 对 于 网 络 来 说 是 neutron。 代码 清单 3-25 和 代码 清单 3-26 分 别 演示 
了 如 何 访 问 OpenStack 存储 和 网 络 的 配额 信息 。 


代码 清单 3-25 ”显示 租户 存储 配额 





devstack@devstack:~/devstack$ cinder gquota-show \ 
9932bc0607014caeab4c3d2b94d5a40c 





te et 指定 要 查询 的 租户 告诉 存储 ( Cinder ) 显示 当前 配额 
| Property | Value | 
上 于 十 一 一 一 一 一 一 一 十 
| gigabytes | 1000 | 
| snapshots | 10 | 
| volumes | 0 | 
于 二 十 一 一 一 一 一 一 一 十 


下 面 的 例子 演示 了 如 何 显示 当前 某 个 租户 的 Neutron 配额 。 


代码 清单 3-26 ”显示 租户 网 络 配额 





devstack@devstack:~/devstack$ neutron duota-show \ 


9932bc0607014caeab4c3d2b94d5a40c 所 告诉 网 络 ( Neutron ) 显示 当前 配额 


指定 要 查询 的 租户 





十 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 十 一 一 一 一 一 一 一 十 
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| Field | Value | 
再 过 二 二 下 二 二 全 二 二 二 二 三 二 二 二 二 二 二 三 二 二 二 和 一 一 一 二 一 十 
| floatingip | 50 | 
| network We, | 
| port | 50 | 
| router | 10 | 
| security_group (Ws te | 
| ecurity dons rale” | 100 | 
| subnet | 10 | 
ED 生 汉 平 二 二 二 全 二 二 二 


可 以 看 到 存储 和 网 络 的 配额 管理 CLI 命令 与 前 面 使 用 的 计算 配额 管理 的 命令 非常 相似 。 也 可 
以 使 用 Dashboard 来 对 配额 进行 配置 。 


VX 小 结 


Dashboard 是 为 最 终 用 户 准 备 的 。 

CLI 和 API 是 为 管理 员 、 脚 本 和 重复 性 任务 准备 的 。 

通过 Dashboard 可 以 做 的 事情 ， 通 过 CLI 或 者 API 都 可 以 做 。 

CLI 可 以 配置 成 输出 特定 命令 使 用 的 API 级 别 调 用 。 

OpenStack 管理 的 资源 是 基于 租户 ( 项目 ) 来 保留 和 提供 的 。 

术语 租户 和 项 目 在 OpenStack 是 等 价 的 ,但 与 资源 、 用 户 和 权限 相关 的 项 目 ， 不 应 该 和 
OpenStack 项 目 (如 计算 、 网 络 等 ) 混 消 。 

角色 决定 了 用 户 在 某 个 租户 的 权限 。 

用 户 会 分 配 一 个 主 租户 ， 但 他 们 可 以 在 其 他 租户 拥有 各 种 角色 。 

租户 网 络 和 子 网 通常 是 某 个 租户 独立 的 私有 网 络 。 

公共 网 络 和 子 网 通常 是 所 有 租户 共享 的 ， 可 以 被 用 来 作为 外 部 ( 公共 ) 网 络 访问 。 
第 三 层 (Layer 3 ) 服务 ( DHCP 和 metadata 服务 等 ) 可 以 通过 网 络 提供 。 

虚拟 路 由 各 用 来 把 网 络 流量 从 租户 ( 私有 ) 网络 路 由 到 公共 网 络 。 

配额 可 以 按 租 户 和 租户 用 户 分 配 。 
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图 ”理解 OpenStack 核心 项 目的 交互 操作 
图 ”探索 OpenStack 与 厂商 硬件 的 关系 
国学 习 于 动 安装 OpenStack 


第 1 草 已 经 介绍 了 OpenStack。 你 了 解 了 OpenStack 如 何 适 用 于 云 生 态 系统 、 技 术 采 用 的 原 
和 这 本 书 的 焦点 内 容 。 在 第 2 划 里 ， 从 高 层次 的 概念 深入 到 使 用 DevStack 来 体验 OpenStack 
框架 。 第 3 章 介 绍 了 作为 OpenStack 运 维 人 员 可 能 会 遇 到 的 场景 ， 并 深入 介绍 了 框架 的 结构 。 

本 章 将 会 回 到 高 层次 的 概念 上 来 。 如果 第 1 章 是 介绍 和 告知 给 你 , 第 2 章 是 让 你 对 这 项 技术 
感到 兴奋 ， 第 3 曹 是 让 你 轻松 地 操作 ， 那 么 第 4 章 就 是 让 你 对 OpenStack 框架 有 本 质 上 的 理解 。 

本 草 不 会 像 第 1 草 那 样 发 人 党 省 ,或 第 2 章 和 第 3 章 那样 有 趣 。 但 无 论 你 是 系统 管理 员 、 开 
发 者 IT 架构 师 或 者 CTO , 这 是 理解 OpenStack 框架 最 重要 的 一 草 。 如 果 你 准备 战斗 在 OpenStack 
一 线 ， 那 么 本 章 会 为 你 打 好 基础 ， 接 着 在 第 $ 草 一 第 8 章 深 入 。 如 采 你 准备 做 OpenStack 相对 高 
层面 的 工作 ， 即 使 你 只 需要 对 广 商 管理 的 方案 负责 ,那么 本 草 会 帮助 你 理解 构成 OpenStack 部 署 
的 各 个 互相 交互 的 组 件 。 

还 等 什么 ? 现在 就 开始 吧 ! 














ve? 万 本 KB 组 件 间 如 何 关 联 


自从 2010 年 OpenStack 第 1 个 公开 发 行 版 开始 ， 这 个 框 染 的 核心 组 件 已 经 从 少数 几 个 增长 
到 现在 接近 10 个 。 现 在 有 上 百 个 OpenStack 相关 项 目 ， 它 们 之 间 有 着 各 种 不 同 程度 的 交互 。 这 
些 项 目 包 含 从 OpenStack 库 依赖 到 项 目 所 在 的 OpenStack 框架 依赖 。 

为 了 更 好 地 对 这 些 多 样 化 的 项 日 分 类 ，OpenStack 基金 会 创造 了 几 种 项 目 类 型 名 称 ， 包 括 核 
心 项 目 、 孵 化 项 目 、 库 项 目 、 代 码 准 入 项 目 、 支 持 项 目 和 关联 项 目 。 这 些 项 目 类 型 名 称 和 对 应 描 
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述 见 表 4-1。 
表 4-1 项 目 类 型 


项 目 类 型 折 ” 述 
核心 (Core) OpenStack 官方 项 目 〈 绝 大 多 会 人 会 用 到 的 ) 
钱 化 〈Incubated ) 正在 开发 的 核心 项 目 《即将 成 为 核心 项 目 ) 
库 (Library) 核心 项 目的 依赖 库 
代码 准 入 〈Gating ) 集成 测试 套件 和 部 署 工具 
支持 (Supporting) 文档 和 社区 基础 设施 的 开发 
关联 (Related) 非 官方 项 目 《 目 相关 的 项 目 ) 





孵化 项 目 一 旦 开发 完成 和 被 接纳 后 ， 就 会 跟 核 心 项 目 一 样 进行 运作 。 库 项 目 是 从 核心 项 目 交 
互 中 抽取 出 来 的 ( 用户 不 可 见 的 ) 功能 。 代 码 准 入 和 支持 项 目 不 会 为 部 署 系统 提供 资源 ， 因 此 不 
用 担心 这 两 种 项 目 。 最 后 是 关联 项 目 ， 正 如 其 名 ， 是 与 OpenStack 有 关联 的 项 目 ， 即 使 这 隶属 天 
系 是 目 我 指定 的 。 

















4.1.1 ”理解 组 件 间 交互 


人 们 经 和 常 说 的 “OpenStack” 是 指 OpenStack 的 “核心 项 目 ”。 核 心 项 目 可 以 使 用 OpenStack 
商标 ， 但 必须 通过 OpenStack 基金 会 定义 的 所 有 “ 必 检 ”测试 。 人 简单 来 说 ， 核 心 组 件 就 是 几乎 每 
个 人 在 部 团 OpenStack 时 都 会 用 到 的 组 件 ， 如 表 4-2 所 示 的 核心 项 目 : 计算、 网络、 存储、 共享 
的 服务 和 Dashboard。 








表 4-2 核心 项 目 














项 目 代码 名 称 描述 
Co ue) 管理 虚拟 机 资源 ， 包 括 CPU、 内 存 、 磁 盘 和 网 络 接口 
人 提供 虚拟 术 网 络 接口 资源 包括 寻 址 、 路 由 和 软件 
对 象 存储 (Obiect Storage) 提供 可 通过 RESTful API 访问 的 对 象 级 别 存储 
块 存储 Block Storage) 为 虚拟 机 提供 块 级 别 〈 传 统 磁盘 ) 存储 
提供 授权 服务 
镜像 服务 〈Imasge Service， 共 享 服务 ) Glance 宣 理 庶 拟 机 机 盘 镜 像 ， 为 虚拟 机 和 快照 (备份) 服务 
提供 镜像 
计量 服务 (Telemetry Service， 共 享 服务 ) 集中 为 OpenStack 各 个 组 件 收集 计量 和 监控 数据 
编排 服务 (Orchestration Service， 共 享 服务 ) 为 OpenStack 环境 提供 基于 模板 的 云 应 用 编排 服务 
数据 库 服务 (Database Service， 共 享 服务 ) 为 用 户 提供 关系 型 和 非 关系 型 数据 库 服务 
仪表 盘 (Dashboard) 为 OpenStack 提供 基于 网 页 的 图 形 界面 
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除了 这 几 种 不 同类 型 的 项 目 外 , 还 有 其 他 撤 术 可 以 用 来 部 署 项 目 组 件 。 如 果 采 种 具体 的 资源 
(存储 、 计 算 和 网 络 等 ) 有 需求 ， 可 以 增加 服务 融 来 部 车 这 些 具体 人质 源 的 组 件 。 我 们 将 会 在 4.1.2 
节 中 介绍 这 些 项 目 类 型 和 相关 的 组 件 。 


1， Dashboard 身份 认证 过 程 


现在 来 看 看 核心 组 件 是 如 何 交 互 的 。 我 们 将 会 介绍 访问 OpenStack Dashboard 的 过 程 ， 回 顾 
一 下 创建 虚拟 机 的 选项 和 创建 一 个 虚拟 机 。 

首先 必须 提供 你 的 登录 凭证 信息 给 Dashboard， 然 后 它 会 去 获取 一 个 认证 令 牌 (token )。 这 
个 认证 令 牌 会 以 cookie 的 形式 记录 在 浏览 右上 ， 以 方便 后 续 的 操作 。 如 图 4-1 所 示 ， 从 号 份 认 证 
服务 那里 获得 一 个 认证 令 牌 。 这 个 过 程 可 以 通过 Dashboard ( 而 不 是 CLI 或 者 API ) 问 导 来 完成 
后 续 的 操作 ， 因 此 这 里 就 不 展开 介绍 Dashboard 的 交互 了 。 在 登录 的 过 程 中 ，Dashboard 只 是 显 
示 了 浏览 希 和 OpenStack API 之 间 的 交互 。 我 们 主要 关注 API 层面 的 组 件 交 互 。 

















4. 使 用 这 个 令 脾 来 认证 。 3. 是 的 ， 这 是 一 个 认证 令 牌 。 





4-1 Dashboard 登录 过 程 





一 旦 拥有 认证 令 牌 ， 就 可 以 进行 第 2 步 和 访问 计算 组 件 来 创建 虚拟 机 。 
2. 资源 查询 和 请 求 交互 过 程 


正如 第 3 草 所 描述 的 那样 ，OpenStack 运作 在 租户 模型 之 上 。 如 果 OpenStack 部 署 是 资源 的 
“一 间 酒 店 ”， 可 以 把 租户 想象 成 酒店 的 房间 。 每 个 租户 〈 房间 ) 都 分 配 了 一 定额 度 的 资源 (一 些 
手巾 、 床 等 )。OpenStack 用 户 ( 宾客 ) 都 通过 角色 来 分 配 到 某 个 租户 〈 房 间 )。 喘 份 信息 被 刁 份 
认证 组 件 管理 ， 资 源 配额 信息 则 由 计算 组 件 管理 。 

在 Dashboard 界面 中 单 击 “Launch Instance”, 计算 组 件 束 会 查询 确定 当前 租户 的 可 用 资源 和 
配置 。 基 于 可 用 的 资源 选项 描述 想 要 创建 的 虚拟 机 ， 人 然后 提交 用 于 创建 的 配置 。 

在 虚拟 机 创建 的 请 求 期 间 ， 各 个 组 件 的 交互 如 图 4-2 所 示 。 因 为 创建 虚拟 机 的 过 程 不 是 瞬时 
完成 的 ， 这 个 过 程 被 异步 执行 ， 因 此 ， 当 提交 提供 虚拟 机 请 求 后 ， 就 会 返回 到 Dashboard。 在 
Dashboard 中 ， 浏 览 硕 会 定时 更 新 虚拟 机 的 状态 信息 。 














4.1 OpenStack 组 件 间 如 何 关 联 75 


[TT 
二 本 全 季 己 


有 可 用 资源 ? 1. 创 建 虚拟 机 的 可 用 
资源 有 哪些 ? 





本 要 
和 本 从 好 所 








ee . 2. 你 有 X 单 位 的 【CPU、RAM、 
人 在 对 》 资源 配 领 。 可 以 访问 和 

有 和 公共 网 络 ， 以 及 一 个 Ubu 
ntu Linux 12.04 贸 伯 。 


i 蕉 午 | 忆 
创建 myVM 
CPU: 2, RAM: 863 
存储 : 40 GB 私 有 网 络 


Ubuntu Linux 镜 像 人 用 指定 的 资源 创建 


[II 
和 本 从 时 把 





提供 二 .开始 提供 myVM 的 过 程 。 
my Wh 





图 4-2 ”资源 查询 和 请 求 


3 资源 供给 的 交互 流程 


当 创建 虚拟 机 的 请 求 提交 后 ， et 
程 。 首先 是 这 个 虚拟 机 对 和 象 记 录 会 被 注册 到 计算 服务 组 件 。 这 条 对 和 象 记录 包含 这 个 虚拟 机 的 状态 
和 配置 信息 一 一 a ， 

当 组 件 在 虚拟 机 创建 过 程 中 交互 时 ,各 个 组 件 会 引用 通用 的 对 象 ， 就 像 这 个 虚拟 机 对 象 。 举 
个 例子 , 计算 服务 组 件 会 向 存储 服务 组 件 发 送 一 个 分 配 存 储 的 请 求 。 存储 服 务 组 件 随 后 会 提供 请 
求 的 存储 ， 并 提供 一 个 存储 对 和 象 的 引用 ， 然 后 将 在 虚拟 机 对 象 记录 中 被 引用 。 

如 图 4-3 所 示 , 计算 服务 组 件 会 与 其 他 核心 组 件 交 互 来 提供 和 分 配 资 源 给 虚拟 机 对 象 。 计算 
服务 首先 请 求 像 存 储 和 网 络 这 些 基础 组 件 。 当 这 个 虚拟 机 的 虚拟 基础 资源 分 配 好 ,并 在 虚拟 机 对 
象 里 引用 后 , 镜像 服务 会 准备 请 求 的 镜像 或 者 快照 的 虚拟 存储 卷 。 到 这 里 ， 虚拟 机 的 创建 过 程 就 
完成 了 ,计算 组 件 就 可 以 “孵化 ”( spawn ) 这 个 虚拟 机 了 。 
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1 使 用 CPU: 2， 
RAM: 8 GB 
创建 myWM。 


7. 好 。 镜 像 已 经 复制 到 
myVM 的 卷 中 。 


Cinder 


2, myVM 需 要 40 GB。 Glance 














氏 像 





6. 我 需要 Ubuntu Linux 12. 叫 镜像 复 
制 到 myVM 的 40 GB 容量 的 卷 上 。 


3. 好 ，40 GB 已 经 分 配 。 





4. myVM 在 私有 网 络 上 需 | “| 5. 好。 适配器 已 经 分 配给 myVM 
要 一 个 虚拟 适配器 。 并 放置 到 私有 网 络 。 


| Neutron 


二 本 


网 络 





4-3 ”资源 供给 流程 


正如 前 面 的 图 所 描述 的 那样 ， 多 个 核心 组 件 会 协同 工作 来 提供 OpenStack 服务 。OpenStack 
的 交互 ， 包 括 在 Dashboard 中 的 ， 最 终 都 会 调用 OpenStack API。 
在 这 之 后 ， 你 将 会 看 到 其 他 相关 项 目 经 常 只 会 通过 API 调用 来 与 OpenStack 交互 。 








4. 相关 项 目的 交互 


现在 可 以 看 看 Ubuntu Juju 这 个 相关 项 目 是 怎样 与 OpenStack 交互 的 。Juju 是 一 个 使 用 
OpenStack 来 提供 虚拟 基础 设施 资源 的 云 自动 化 包 , Juju 通过 特定 应 用 程序 charms 自动 部 团 和 配 
置 虚 拟 基 础 设施 上 的 应 用 。 

Juju charms 是 一 组 定义 了 服务 和 应 用 如 何 与 虚拟 基础 设施 整合 的 安装 脚本 。 因 为 基础 设施 资 
源 ， 包 括 网 络 和 存储 ， 都 可 以 通过 OpenStack 程序 化 供应 ，Juju 可 以 用 charm 来 部 署 整个 应 用 套 
件 。 简单 来 说 , 就 是 Juju 把 新 提供 的 虚拟 机 实例 转变 成 运行 的 应 用 。 我 们 将 会 在 后 面 的 章节 中 详 
细 地 介绍 这 个 过 程 , 但 基本 上 就 是 告诉 应 用 charm 你 想 要 部 署 的 实例 大 小 和 数量 , 它 就 会 按照 这 
个 配置 部 蜀 你 的 应 用 。 

想 要 在 OpenStack 部 署 中 使 用 Juju, 首先 要 通过 Juju 命令 7 ( CLI ) 部 署 它 的 bootstrap 组 件 。 
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bootstrap 其 实 就 是 一 个 运行 Juju 的 虚拟 机 ， 用 来 控制 自动 化 流程 。 从 组 件 角 度 来 看 ，bootstrap 
部 署 的 过 程 与 上 面 儿 幅 图 ( 见 图 4-1 一 图 4-3 ) 类 似 。 差 别 在 于 不 再 使 用 浏览 絮 发 起 请 求 ， 而 是 通 


过 Juju。 











从 OpenStack 角度 来 看 juju 节点 ”Juju 节点 运行 Ubuntu 操作 系统 ， 包 括 一 些 Juju 自动 化 工具 。 
从 OpenStack 角度 来 看 ， 一 个 Juju 节点 跟 OpenStack 提供 的 其 他 虚拟 机 没有 区 别 。 作 为 一 个 关联 
项 目 ，Juju 只 是 利用 OpenStack 提供 的 资源 ， 但 这 就 是 整合 的 目的 。 





一 旦 bootstrap 节点 局 动 后 ,Juju 的 命令 会 发 癌 bootstrap 节点 ,而 不 是 直接 发 给 OpenStack API。 
正如 表面 所 提 ， 供 应 资源 的 过 程 是 异步 的 ， 经 向 要 消耗 一 段 时 间 。 当 20 个 虚拟 机 应 用 部 署 时 ， 
你 肯定 不 想 一 直 保 持 从 你 的 计算 机 到 OpenStack 环境 的 连接 。 

在 第 12 章 中 ， 我 们 将 会 使 用 Juju 作为 编排 工具 、OpenStack 作为 后 台 来 部 署 WordPress。 
现在 来 看 看 Juju 是 如 何 通过 bootstrap 这 个 虚拟 机 编排 应 用 部 署 的 。 思 考 一 个 例子 ,使 用 Juju 
和 OpenStack 部 蜀 宙 有 MySQL 后 并 集群 的 负载 均衡 的 WordPress。 在 这 个 例子 中 , 有 3 种 服务 
节点 : 负载 均衡 、WordPress( Apache/PHP ) 和 MySQL 数据 库 。 使 用 Juju charm 部 署 WordPress， 
只 需要 摘 述 好 每 种 服务 的 节点 数量 、 虚 拟 大 小 (CPU 、RAM 等 ) 和 这 些 节 点 间 的 关系 。 提 交 
这 个 charm 给 bootstrap 扩 点 ， 然 后 它 就 会 与 OpenStack 交互 进行 应 用 的 部 署 。 这 个 过 程 如 图 4-4 
所 示 。 

















Openstack API 


3. 提供 负载 均衡 、 











应 用 程序 和 数 
1. 我 想 要 创建 一 个 WordPress 华 和 群 。E 据 库 节点 。 
一 Neutron Cinder 
2. 好 ， 我 将 开始 这 个 过 程 。 4. 好 ， 我 将 开始 这 个 过 程 。 : De 目 





bootstrap 


4-4 OpenStack 与 关联 项 目的 交互 


假设 在 OpenStack 平台 上 ， 直接 通过 bootstrap 节点 成 功 地 提供 了 所 需 的 虚拟 基础 设施 。 现在 
就 有 了 一 组 虚拟 机 , 但 还 没有 应 用 。bootstrap 节点 会 轮 询 OpenStack, 看 虚拟 机 是 否 完全 启动 好 。 
一 旦 虚拟 机 正常 运行 ，bootstrap 会 在 OpenStack 框架 之 外 完成 对 虚拟 机 上 应 用 的 安 狼 。 如 图 4-5 
所 示 ，bootstrap 方 点 会 直接 与 新 提供 的 虚拟 机 交互 。 从 这 点 可 以 看 出 ，OpenStack 只 是 简单 提供 
了 虚拟 基础 设施 ， 它 对 分 配给 每 个 虚拟 机 的 应 用 角色 是 不 知道 的 。 

刚才 已 经 在 逻辑 层面 介绍 了 OpenStack 组 件 间 的 交互 。 在 图 中 ， 对 于 组 件 内 交互 ， 都 把 它 当 
成 是 在 一 个 单一 的 大 型 闻 点 ( 物理 市 点 ) 内 部 交互 。 但 在 实践 中 ，OpenStack 都 是 多 节点 拓扑 ， 
组 件 分 布 在 多 个 通用 服务 右上 。 
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bootstrap 


虚拟 机 





使 用 主机 DB 0 和 DB 1 使 用 数据 库 集 群 为 Web 0-Web N 
来 安装 MySQL 和 配置 主 DB_ODB_1 安 深 安装 HAProxy 和 仙 
动 /被 动 的 数据 库 集群 。 Apache、PHP 和 载 均衡 Web 流 量 。 
WUWDrdPress。 
虚拟 
| 服务 器 
DB 0 Web 0 LB 1 
DB 1 Web N LB 1 


4-5 juju bootstrap 控制 虚拟 机 


4.1.2 分 布 式 计算 模型 

现在 来 看 看 OpenStack 组 件 分 布 式 模型 。 在 分 布 式 计算 中 ， 有 好 几 种 组 件 分 布 方式 。 

在 网 格 ( mesh ) 分 布 中 ,控制 层 和 效 据 层 在 节点 层面 是 分 布 式 的 ， 没 有 中 心 节 点 。 这 种 模型 
是 完全 分 布 式 的 , 但 维护 世上 点 的 并 发 性 就 比 集中 控制 式 模 型 要 难得 多 了 。 除 了 收集 最 终结 采 ， 网 
格 分 布 经 常用 于 市 点 可 以 独立 运行 、 彼 此 之 间 只 宕 要 少量 协作 的 情形 。 

在 男 外 一 个 极端 ， 是 中 心 辐射 型 分 布 , 控制 屋 和 数据 层 都 放 在 中 心 闻 点 ， 就 像 一 个 中 心 广 播 
点 。 中 心 辐射 型 拓扑 的 规模 通 疝 会 受到 限制 ， 因 为 控制 层 和 数据 层 都 聚合 到 一 个 中 心 节 点 。 中 心 
辐射 型 经 常会 在 市 点 间 需 要 局 度 交 互 和 协作 的 场景 下 使 用 。 

OpenStack 的 分 布 式 模型 包含 了 上 述 两 种 类 型 的 特征 。 跟 网 格 一 样 ， 一 旦 OpenStack 提供 了 
虚拟 基础 设施 , 这 些 基 础 设施 的 运行 不 会 受到 中 心 控制 节点 的 管理 。 但 同时 又 像 中 心 辐射 型 一 样 ， 
组 件 间 的 交互 是 通过 中 心 API 服务 来 进行 协调 的 。 维 护 API 服务 的 节点 就 是 我 们 所 说 的 
OpenStack 控制 项 。 该 控制 硕 协 调 组 件 的 请 求 ， 同 时 也 是 OpenStack 环境 的 主要 对 外 接口 。 


通用 分 布 式 组 件 模型 


现在 不 考虑 OpenStack 组 件 的 功能 ,关注 一 下 OpenStack 实现 的 混合 了 网 格 和 中 心 辐 射 型 的 
分 布 式 模 型 。 图 4-6 描述 了 在 OpenStack 分 布 式 模型 里 节点 间 的 交互 。 客 户 端 向 控制 器 发 送 服务 
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请 求 。 控 制 硕 并 不 是 一 个 操作 依赖 的 节点 ,但 它 可 以 知道 整个 系统 的 状态 和 资源 清单 。 控 制 希 选 
择 适 合 的 节点 把 请 求 分 配 下 去 。 





-一 一 一 
ed ”~ 


f 喂 ! 节点 1! 本 
广 在 Drama 下 检查 《教父 多 。 < 





教父 »》 可 以 点 播 吗 ? 





不 在 Action 下 ! 





4-6 ”分 布 式 组 件 模型 


2. OpenStack 的 分 布 式 组 件 模型 


图 4-6 所 示 的 通用 分 布 式 组 件 模 型 代表 了 OpenStack 组 件 间 交互 的 方式 。 在 深入 介绍 
OpenStack 细 广 之前， 来 看 看 这 种 模型 的 一 个 抽象 例子 。 假 如 一 个 分 布 式 组 件 模 型 ， 如 图 4-6 所 
示 ， 实现 了 一 个 内 容 管 理 系统 ， 如 电影 点 播 。 考虑 有 两 部 电影 同时 传送 给 两 个 用 户 的 场景 。 一 开 
始 电影 点 播 请 求 从 客户 端 发 送 给 控制 磊 , 控制 融 让 两 个 节点 发 送 电 影视 频 流 给 这 两 个 用 户 。 现 在 
假如 在 电影 传送 过 程 中 , 控制 套 出 现 严 重 故 队 。 这 些 电影 流 不 会 中 断 ,， 客 户 端 和 传播 节点 都 对 这 
个 故障 无 感知 。 在 这 种 类 型 的 分 布 式 模型 中 ,在 控制 带 恢 复 之 前 ， 新 的 请 求 不 能 被 啊 应 ,但 之 前 
的 请 求 操作 会 持续 进行 。 

现在 来 看 看 OpenStack 的 组 件 是 怎样 运作 的 。 在 这 里 将 会 从 OpenStack 分 布 式 模型 的 角度 来 了 
解 它 的 组 件 。 组 件 的 控制 部 分 会 放 到 控制 节点 上 ， 提 供 资 源 的 组 件 会 分 布 到 各 个 资源 市 点 。 图 4-7 
介绍 了 OpenStack 组 件 的 分 布 式 模型 。 


3. 提供 虚拟 机 过 程 中 分 布 式 组 件 的 交互 


在 OpenStack 分 布 式 模型 里 ， 一 个 单一 的 控制 妖 可 以 管理 很 多 资源 节点 。OpenStack 组 件 实 
际 上 就 是 服务 的 集合 。 在 前 面 介 绍 过 , 有 些 服务 运行 在 控制 名 节点 , 也 有 些 服务 运行 在 资源 节点 。 
对 于 不 同 的 组 件 , 也 许 有 些 服务 运 行 在 控制 部 ， 而 一 些 服 务 运 行 在 资源 和 点 。 例 如， 计算 组 件 在 
控制 着 运行 6 个 服务 ， 相 比 之 下 ， 计 算 资 源 和 点 通 稼 运行 一 个 单一 的 计算 组 件 。 

现在 来 看 看 当 提 供 虚 拟 机 的 请 求 发 送出 去 后 发 生 了 什么 。 几 4-8 在 市 点 层面 描述 了 创建 虚拟 
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机 时 分 布 式 的 OpenStack 组 件 间 的 交互 。 从 组 件 的 角度 来 看 , 与 图 4-7 相 比 是 没有 变化 的 。 图 4-8 
想 要 展示 在 多 节点 分 布 式 部 署 时 组 件 间 的 交互 。 


资源 节点 











myVM 在 “私有 ” 
网 络 上 需要 一 个 
虚拟 网 络 接口 。 


我 起 在 “私有 ”网 络 创建 一 个 名 为 myVM 的 虚拟 机 
myVM 需 要 40 GB (CPU: 2; RAM: 8GB; 存储 : 40GB) 。 请 加 
容量 的 卷 。 载 Ubuntu Linux 12.0H 和 镜像 到 myYNi。 


/ Web 训 览 回 





好 ， 我 会 提供 myVM。 


我 看 到 你 为 “私有 ”网 络 提供 网 
络 服务 。 请 为 myVM 创 建 一 个 虚 
拟 接口 。 分 配 到 “私有 "网 络 。 


我 看 到 你 有 可 用 存储 。 
请 提供 和 分 配 40 GB 
容量 卷 到 mwwM。 


这 是 在 “私有 ”网 络 访问 myVM 的 信息 。 这 是 40GB 容 量 卷 的 信息 。 确 保 myVM 
为 myVM 创 建 一 个 从 你 的 节点 到 我 的 节 可 以 作为 本 地 磁盘 访问 这 个 卷 。 
人 口 。 我 会 提供 这 个 虚拟 机 的 


图 4-8 ”分布 式 组 件 间 的 交互 
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4. 虚拟 机 层面 的 组 件 交 互 


在 多 市 点 部 辕 中 ， 对 于 每 种 服务 类 型 ( 计算 、 存 储 和 网 络 )， 都 会 部 署 在 多 个 节点 上 。 计算、 
存储 和 网 络 节 点 数量 的 比例 基于 你 对 这 些 资源 的 需求 。 某 些 类 型 的 服务 可 能 还 会 连接 到 其 他 三 商 
提供 的 组 件 ， 如 存储 节点 连接 到 广 商 的 存储 系统 ， 网 络 世 点 连接 到 厂商 的 网 络 设备 。 这 些 特 定 广 
商 资 源 在 OpenStack 中 的 使 用 将 会 在 4.2 市 介绍 。 

我 们 已 经 从 组 件 交 互 层 面 和 分 布 式 服务 层面 介绍 了 OpenStack 组 件 的 关系 。 现 在 从 虚拟 机 的 
角度 看 看 这 些 交 互 。 

虚拟 机 ， 如 名 字 所 示 ， 是 物理 服务 瘟 上 的 虚拟 化 资源 。 一 个 虚拟 机 里 面 运行 着 操作 系统 ， 就 
像 一 个 物理 系统 ,任何 运行 在 通用 虚拟 机 上 的 操作 系统 都 希望 虚拟 硬件 要 表现 得 完全 像 物理 人 硬件 
资源 。 也 就 是 说 ， 虚 拟 机 里 面 的 操作 系统 读 写 网 络 和 存储 设备 ， 以 同样 的 方式 写 人 CPU 寄存 需 
或 者 内 存 。 当 物理 服务 融和 运行 了 hypervisor,，hypervisor 会 把 多 个 虚拟 地 址 空间 映射 到 同一 个 物理 
地 址 空间 。 在 分 布 式 的 OpenStack 组 件 里 ， 你 不 仅 有 虚拟 资源 ， 而 且 这 些 虚 拟 资 源 分 布 在 不 同 的 
物理 市 点 上 。 你 需要 通过 虚拟 机 理解 这 些 分 布 式 的 资源 的 关系 。 

虽然 虚拟 机 的 资源 是 通过 多 个 特定 组 件 节 点 提供 的 , 但 站 在 虚拟 机 的 角度 看 ， 这 些 资 源 就 
像 是 由 一 个 硬件 提供 。 图 4-9 描述 了 来 自 特 定 组 件 资源 证 点 的 资源 如 何 协 同 创建 一 个 单一 的 虚 
拟 机 。 




























物理 
服务 响 





























一 个 虚拟 网 络 接口 《eth0) 作为 
计算 节点 上 虚拟 变换 机 的 一 个 端 ”号 
口 (tap》 被 提供 。 计 算 节 点 会 
通过 通用 路 由 封装 ‘GRE) 隧 
道 连接 到 网 络 节 点 。 从 myVM 的 


本 存储 节点 提供 40 GB 存 储 ， 通 
一 过 iSCSI 连接 到 计算 节点 。 存 





他 储 会 在 存储 节点 上 物理 存在 。 

tere i 计算 节点 通过 hypervisor 分 配 

第 2 层 (Layer 2) 广播 域 的 网 络 这 个 卷 给 myVM。 一 旦 挂 载 到 

节点 。 网 络 节 点 将 会 为 myVM 在 计算 节点 上 的 hypervisor 提 供 两 En 

第 2 层 网 络 上 提供 所 有 3 层 第 服 个 虚拟 CPU 和 8 GB RAM。 在 Re 

务 〈 路 由 、 杞 址 、 隧 道 村 ) 。 myVM 执 行 的 指令 将 会 被 计算 节 的 
点 上 的 硬件 实际 执行 。 


4-9 组件- 虚拟 机 的 关系 
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你 可 以 认为 虚拟 机 运行 在 一 个 特定 的 计算 节点 上 ， 但 实际 上 虚拟 机 的 数据 会 放 在 存储 广 扣 ， 
数据 传送 (第 3 层 ) 会 通过 网 络 节 点 。 





分 布 式 虚拟 路 由 (DVR) 在 最 近 发 布 的 OpenStack 版 本 之 前 , 第 3 层 (L3) 网 络 功能 (如 路 由 ) 
都 是 通过 少量 的 专用 网 络 节点 来 实现 。 后 来 ， Neutron/DVR 子 项 目 出 现 了 ， 把 路 由 功能 分 布 到 计 
算 节 点 和 专用 网 络 节点 中 。 


OpenStack 这 种 分 布 式 架构 和 组 件 设 计 可 以 非常 有 效 地 部 署 虚 拟 资源 。OpenStack 框架 提供 
了 管理 来 目 一 个 单一 系统 的 组 件 市 点 类 型 的 多 个 市 点 的 能 
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多 年 来 ,提供 计算 、 存 储 和 网 络 硬件 的 广 商 关 注 于 出 售 更 快 和 功能 更 强大 的 便 件 。 最 近 ， 便 
件 被 当成 是 通用 的 ,软件 的 互 操 作 性 更 好 了 , 广 商 开始 提供 云 计 算 这 样 的 服务 ， 而 不 只 是 提供 便 
件 和 软件 ， 提 供给 客户 更 具 弹 性 的 选择 。 

OpenStack 框架 具备 的 最 大 的 优势 之 一 是 厂商 中 立 。 通 过 OpenStack API 接口 可 以 确保 所 使 
用 的 底层 便 件 厂商 对 功能 的 影响 降 到 最 低 水 平 。 使 用 OpenStack 并 不 是 可 以 从 厂商 中 解放 出 来 ， 
还 是 需要 底层 服务 硕 、 存 储 和 网 络 资源 。 但 OpenStack 允许 你 基于 性 能 和 价格 来 对 厂商 做 选择 ， 
而 不 是 考虑 特定 厂商 实现 和 功能 集 的 锁定 的 既定 成 本 。 让 你 不 只 可 以 使 用 现 有 的 人 硬件 和 软件 来 部 
署 OpenStack， 将 来 的 采购 可 以 基于 OpenStack 提供 什么 ， 而 不 是 厂商 特定 功能 来 决定 。 

本 节 将 会 介绍 如 何 处 理 OpenStack 与 特定 厂商 的 整合 。 术语 厂商 在 本 书 中 既 指 开源 技术 也 指 
商业 产品 。 在 OpenStack 里 ,开发 三 阅 技术 整合 取决 于 厂商 或 者 文 持 的 社区 。 OpenStack 不 同 组 
件 处 理 这 种 整合 的 方式 也 不 一 样 ， 将 会 在 下 一 节 介 绍 。 






































4.2.1 OpenStack 使 用 厂商 存储 系统 

现在 来 看 看 OpenStack 块 存 储 (Cinder ) 支持 的 厂商 存储 有 哪些 类 型 ， 以 及 如 何 实 现 整 合 。 
图 4-10 展示 了 存储 资源 分 配 和 管理 的 逻辑 视 网 。 

图 4-10 显示 了 虚拟 机 的 CPU 和 RAM 是 由 通用 服务 器 提供 的 。 图 4-10 还 显示 了 分 配给 虚拟 
机 的 存储 不 是 在 这 台 通 用 服务 器 上 , 而 是 通过 独立 存储 系统 提供 。 接 下 来 会 介绍 提供 虚拟 块 设备 
给 虚拟 机 的 多 种 方式 。 








DevStack 里 的 存储 系统 第 2 章 介 绍 了 DevStack 的 部 署 ， 但 没有 对 存储 做 任何 配置 。 在 那个 单 
节点 DevStack 部 署 中 ， 存 储 资 源 由 跟 计 算 资 源 相 同 的 计算 机 提供 。 然 而 ， 在 多 节点 生产 部 署 中 ， 
计算 和 存储 资源 由 单独 的 存储 及 计算 节点 和 /或 者 应 用 程序 提供 。 


OpenStack 块 存 储 ( Cinder ) 对 存储 广 商 和 技术 的 使 用 没有 限制 ， 甚 至 能 被 OpenStack 对 象 
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存储 (Swift ) 使 用 。 下 面 将 会 介绍 Cinder， 因 为 它 管理 的 这 种 存储 作为 虚拟 机 的 一 部 分 使 用 ,本 
草 还 会 关注 OpenStack 与 厂商 组 件 的 整合 。 这 也 不 是 说 OpenStack 对 象 存储 很 价 单 ， 只 是 它 更 加 
独立 和 没有 被 一 个 运行 的 虚拟 机 直接 使 用 (所 以 与 本 章 内 容 关 系 不 大 )。 


Openstack 服 秀 






虚拟 机 的 存储 分 配 
给 一 个 单独 的 虚拟 
OpenStack 分 配 虚 ee Se 块 设备 。 
拟 机 的 计算 资源 给 
通用 服务 器 硬件 。 
服务 器 四 NetApp 
硬件 SAN 























[Tr 


虚拟 机 
图 4-10 ”OpenStack 和 厂商 存储 系统 


1， 虚拟 机 如 何 使 用 存储 


在 OpenStack 和 其 他 提供 Iaas 的 环境 , 虚拟 块 存储 设备 都 是 提供 并 分 配给 虚拟 机 。 运行 在 虚 
拟 机 里 的 操作 系统 在 它们 的 虚拟 块 设备 或 卷 上 管理 文件 系统 。 

谈 者 可 能 会 有 疑问 :“ 如 有 果 虚 拟 机 的 计算 部 分 由 一 台 服 务 需 提供 ， 存 储 由 另外 单独 的 服务 需 
或 存储 应 用 提供 , 那 它 们 是 怎样 连接 起 来 提供 一 个 虚拟 机 的 呢 ? ”答案 是 所 有 这 些 资源 最 终 都 会 
作为 虚拟 机 的 虚拟 硬件， 然后 在 hypervisor 层 连接 到 一 起 。 图 4-11 展示 了 图 4-10 中 的 逻辑 视图 
的 技术 视图 。 

在 图 4-11 中 ,厂商 存储 系统 了 接连 接 到 计算 市 点 (通过 PCI-E、 以 太 网 、 光 纤 通 道 (FC )、 
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以 太 网 光纤 通道 (FCoE ) 或 者 厂商 特定 通信 和 链接 连接 )。 计 算 节 点 和 存储 系统 交互 通过 存储 传输 
协议 ， 如 iSCSI、NFS 或 者 厂商 特定 协议 。 人 简单 说 就 是 存储 可 以 以 多 种 不 同方 式 提供 给 运行 
hypervisor 的 计算 市 点 ， 把 这 些 资 源 呈 现 给 虚拟 机 是 计算 方 点 的 任务 。 


< 
一 一 


=== 
Es 




















厂商 存储 资源 直接 提供 
“人 ”给 虚拟 机 作为 虚拟 硬件 ， 
由 hypervisor 管 理 。 





虚拟 机 
4-11 被 hypervisor 使 用 的 厂商 存储 





再 来 看 看 图 4-11, 可 以 看 到 无 论 怎 样 提 供 存 储 ， 分 配给 具体 虚拟 机 的 存储 资源 ， 最 终 还 是 被 
提供 这 个 虚拟 机 的 CPU 和 RAM 资源 相同 的 节点 当成 虚拟 硬件 管理 。 
现在 总 结 一 下 OpenStack 和 厂商 存储 系统 : 
图 ”操作 系统 为 它 的 文件 系统 使 用 块 存储 设备 ; 
计算 市 点 上 的 hypervisor 提供 虚拟 块 ( 可 启动 操作 系统 的 ) 设备 给 虚拟 机 ; 
有 多 种 方式 提供 存储 资源 给 运行 hypervisor 的 计算 节点 ; 
厂商 存储 系统 可 以 用 来 为 计算 方 点 提供 存储 资源 ; 
国 ”OpenStack 处 理 hypervisor、 计 算 节 点 和 存储 系统 的 关系 。 
下 一 市 将 会 介绍 OpenStack 如 何 管 理 这 些 资源 。 


2. OpenStack 如 何 支 持 厂 商 存 储 


你 可 能 会 想 :“ 好 吧 ， 我 知道 存储 如 何 被 使 用 ,但 如 何 被 OpenStack 管理 呢 ? ”Cinder 是 一 
个 模块 化 的 系统 ， 人 允许 开发 者 创建 插件 ( 驱动 ) 来 文 持 任何 存储 技术 和 上 三 商 。 这 些 模块 可 能 是 被 
某 个 公司 内 部 产品 开发 团队 或 者 社区 开发 。 

图 4-12 展示 了 Cinder 使 用 插件 管理 厂商 存 储 系统 。 

前 面 草 节 已 经 介绍 了 每 个 OpenStack 组 件 都 有 目 己 的 职责 。 例 如 ，Cinder 的 职责 是 把 
OpenStack 计算 服务 的 存储 请 求 转 换 成 使 用 存储 系统 的 厂商 特定 API 的 可 执行 请 求 。 

显然 ,如 果 想 转换 一 种 语言 或 API 到 另外 一 种 ,需要 有 最 低 数 量 要 求 的 互相 关联 的 定义 功能 。 
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对 于 每 个 OpenStack 发 行 版 ， 对 每 个 插件 都 有 最 低 数 量 要 求 的 功能 和 统计 报告 。 如 采 插 件 没有 在 
版 本 间 被 维护 , 没有 要 求 添加 的 功能 和 报告 , 那 就 会 在 下 一 个 发 行 版 中 弃 用 。 当 前 最 少 功能 和 报 
告 的 列表 见 表 4-3 和 表 4-4( 编写 本 书 时 )。 最 新 的 插件 列表 要 求 可 以 在 GitHub 仓库 找到 : 
http://docs.openstack.ors/developer/cinder/devref/drivers.html。 人 然而 ， 截 至 本 书写 作 之 时 ，Cinder 
插件 的 最 低 功 能 要 求 列表 自 Icehouse 版 本 后 就 没有 改变 。 


表 4-3 最 低 功能 要 求 











功能 名 称 摘 述 

创建 /删除 卷 在 后 端 存 储 系统 为 虚拟 机 创建 /删除 郑 

挂 载 /卸载 郑 在 后 端 存 储 系统 为 /从 虚拟 机 挂 载 / 番 载 卷 

创建 /删除 快照 在 后 端 存 储 系统 为 苍 创 建 实时 快照 

从 快照 创建 卷 在 后 端 存储 系统 从 之 前 的 快照 创建 郑 

获取 卷 状态 获取 茶 个 卷 的 统计 报告 

复制 镜像 为 若 复制 镜像 为 虚拟 机 可 以 使 用 的 知 

复制 卷 为 镜像 复制 虚拟 机 使 用 的 卷 为 二 进 制 镜 像 

复制 郑 复制 茶 个 虚拟 机 的 卷 为 另 一 个 虚拟 机 的 卷 
扩展 卷 扩展 虚拟 机 的 卷 的 尺寸 而 不 破坏 苍 上 现 有 的 数据 


表 4-4 最 低 统计 报告 要 求 











统计 名 称 样 例 挡 ” 述 
driver_version 1.0a 厂商 特定 驱动 版 本 的 报告 插件 
free_capacity_gb 可 用 的 GB 数量 。 如果 是 不 清楚 或 无 限 , 就 报告 “unknown ”或 者 “infinite” 
reserved_percentage 保留 空间 比例 但 没有 使 用 着 供给 卷 分 配 ， 不 是 实际 使 用 的 ) 
storage_protocol 报告 存储 协议 : i SCSI[、FC、NFS 等 
本 总 共 可 用 的 GB 数量 。 如 果 是 不 清楚 或 无 限 ， 就 报告 “unknown” 或 者 
infinite 
vendor_name 提供 后 端 存储 系统 的 厂商 
volume_backend_name 厂商 后 端的 卷 名 称 。 在 统计 报告 和 问题 排查 时 是 必需 的 


OpenStack 里 的 厂商 存储 示例 “如 前 面 所 述 ， 厂 商 存储 的 支持 是 通过 Cinder 中 的 插件 提供 的 。 
很 多 插件 已 经 被 /为 了 很 多 厂商 开发 ， 包 括 Coraid、 戴 尔 、EMC 、GlusterFS 、HDS 、 惠 普 、 华 为 、 
IBM、NetApp 、Nexenta、Ceph 、Scality、SolidFire 、VMware 、 微 软 、Zadara 和 Oracle。 除 了 商 
业 厂 商 外 ，Cinder 也 文 持 LVM ( Linux 渐 辑 卷 管 理 器 ) 和 NFS 挂 载 存储 。 最 新 的 Cinder 支持 列 
表 可 以 在 https://wiki.openstack.org/wiki/ CinderSupportMatrix 查看 。 
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未 知 或 无 限 可 用 空间 在 表 4-4 的 free_capacity_gb 项 中 ,可 以 看 到 可 用 空间 的 值 可 以 是 unknown 
和 infinite。 有 些 场景 下 这 些 值 是 必需 的 ,但 从 通用 操作 角度 来 看 ， 需 要 理解 对 于 存储 驱动 ， 这些 
值 是 有 效 的 。 


Openstack 服 务 






Neutron 


大 


网 络 


服务 器 硬件 正三 [= SAN 


[jrj 
虚拟 机 


图 4-12 Cinder 管理 厂商 存储 


4.2.2 OpenStack 里 使 用 厂商 提供 的 网 络 系统 

在 OpenStack， 通 党 是 服务 需 硬 件 提 供 计 算 资 源 ， 广 商 存储 系统 提供 存储 资源 ， 同 样 网 络 资 
源 由 一 个 或 多 个 厂商 提供 。 显 然 ， 如 果 VM 运行 在 某 台 服务 句 上 ， 这 台 服 务 吉 为 这 个 VM 提供 
所 有 计算 资源 (CPU、RAM、LO 等 )。 因 为 一 台 服 务 需 采 以 同时 文 持 多 个 VM， 所 以 从 服务 需 角 
度 来 看 跟 VM 的 关系 是 一 对 多 的 ， 从 VM 角度 年 跟 服务 器 的 关系 是 一 对 一 的 。 这 也 就 是 说 从 计 
算 角 度 看 ， 消 费 的 资源 只 会 被 托管 VM 的 服务 需 提 供 。 

如 前 一 节 所 述 ， 虽 然 存 储 资 源 从 计算 节点 技术 性 移 除 了 , 但 从 虚拟 机 的 角度 看 ,还 是 一 对 一 
关系 。 通 常 ， 会 在 一 个 节点 上 连接 虚拟 硬件 的 一 个 容器 作为 虚拟 机 的 一 个 卷 。 

图 4-13 展示 了 在 第 1 章 首次 介绍 的 网 络 资源 分 配 和 管理 的 逻辑 视图 。 
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图 4-13 显示 了 网 络 的 简化 视图 ， 表 明 网 络 资源 跟 计 算 和 存储 一 样 以 相同 的 一 对 一 的 方式 被 
消耗 。 很 不 地 ， 网 络 没 有 那么 人 简单。 图 4-13 没有 显示 用 来 连接 网 络 两 个 端点 的 管理 层 。 本 贡 介 
绍 OpenStack 网 络 (Neutron ) 以 及 它 如 何 管理 厂商 网 络 。 


Openstack 服 务 





Neutron 
网 络 
OpensStack 
管理 厂商 网 络 


> 一 厂商 网 络 














Ei 
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虚拟 机 


4-13 ”OpenStack 和 厂商 网 络 
下 面 首 先 看 一 下 虚拟 机 是 如 何 使 用 网 络 的 。 


1， 虚拟 机 如 何 使 用 网 络 


显然 ， 对 于 单个 虚拟 机 ， 网 络 没 多 大 用 处 ， 因 此 假设 至 少 有 两 个 虚拟 机 /节点 通信 。 这 两 个 
节点 的 通信 方式 取决 于 在 整个 网 络 中 它们 彼此 间 的 关系 。 表 4-5 总 结 了 传统 虚拟 环境 中 的 几 种 通 
信 场 景 。 之 所 以 说 是 传统 案例 ， 因 为 软件 定义 网 络 ( SDN )， 无 论 是 哪个 广 商 ， 都 模糊 了 这 些 分 
类 的 划分 。 
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表 4-5 市 扣 通 信 场 景 





场 景 描 述 
主机 内 部 在 相同 物理 主机 内 的 相同 VLAN (1L2 网 络 ) 通信 
主机 间 - 内 部 在 相同 VLAN 的 节点 间 的 通信 ， 但 在 不 同 主机 间 
主机 间 - 外 部 OpenStack 主机 和 未 知 外 部 网 络 ( 互联网) 的 端点 通信 





在 主机 内 部 通信 的 例子 中 ， 流 量 保持 在 物理 主机 内 部 ， 不 会 到 达 广 商 网 络 。hypervisor 可 以 
用 它 的 虚拟 交换 机 (网 络 ) 将 流量 从 一 个 主机 传 到 另外 一 个 。 

相反 ， 在 主机 间 - 内 部 和 主机 间 - 外 部 的 例子 中 ，hypervisor 市 点 和 整个 虚拟 化 平台 完全 把 市 
点 的 通信 转移 到 厂商 网 络 。 

图 4-14 显示 了 在 相同 主机 的 不 同和 点 间 的 传统 通信 方式 。 在 写本 书 时 ,Nova 网 络 和 VMware 
vSphere 里 的 默认 分 布 式 交换 机 都 是 这 样 工 作 的 。 

图 4-14 中 显示 了 在 相同 物理 主机 的 3 个 节点 。VLAN1 上 的 两 个 节点 在 主机 内 部 通信 ,没有 
接触 厂商 网 络 。 但 在 不 同 的 VLAN (VLAN1 和 VLAN2 ) 的 两 个 节点 的 通信 转移 到 厂商 网 络 。 厂 
商 网 络 会 完全 负责 保证 把 通信 传达 到 预期 的 目的 地 ， 即 使 通信 两 端 都 在 相同 的 节点 。 在 这 些 场景 
下 ， 网 络 是 如 何 工 作 的 细节 部 分 已 经 超出 本 章 的 范围 。 需 要 理解 的 是 ，OpenStack 把 厂商 网 络 的 
复杂 性 抽象 了 。 复 杂 的 厂商 特定 配置 通过 插件 管理 。 

现在 应 该 清楚 厂商 网 络 比 厂商 存储 系统 简单 地 供应 资源 更 加 复杂 。 图 4-15 显示 了 两 个 主机 
使 用 厂商 网 络 通信 。 当 然 ， 也 可 以 配置 OpenStack 跟 传 统 虚 拟 化 框架 一 样 ， 人 简单 地 转移 所 有 通信 
到 厂商 网 络 , 但 在 云 平 台中 不 推荐 这 样 做 。 为 什么 不 推荐 的 详情 超出 本 章 介 绍 的 范围 , 但 可 以 肯 
定 的 是 ， 这 种 做 法 规模 不 会 大 ， 也 会 成 为 如 何 管理 和 提供 资源 的 限制 因素 。 

在 图 4-16 中 ,假设 想 要 以 管理 计算 和 存储 资源 相同 的 粒度 级 别 来 管理 网 络 。 在 这 个 模型 里 ， 
OpenStack 网 络 (Neutron ) 接口 直接 连接 到 厂商 网 络 组 件 ， 人 允许 Neutron 和 它 文 持 的 主机 目 己 
做 网 络 决策 。 

现在 总 结 一 下 关于 OpenStack 和 厂商 网 络 系统 已 经 介绍 的 内 容 : 

图 ”传统 hypervisor 和 虚拟 化 框架 采 板 地 把 很 多 功能 转移 到 厂商 网 络 ; 

图 ”传统 hypervisor 和 虚拟 化 框架 很 少 或 完全 不 知道 网 络 是 怎样 运行 的 ， 即 使 是 它们 目 己 的 
虚拟 机 ; 
管理 厂商 网 络 比 控制 一 个 类 似 广 商 存 储 的 一 对 一 的 关系 复杂 ; 

Neutron 是 OpenStack 网 络 的 代码 名 称 ; 
Neutron 整合 厂商 网 络 组 件 为 OpenStack 提供 网 络 功能 。 
下 一 节 将 会 介绍 Neutron 接口 如 何 与 厂商 网 络 组 件 连接 。 


2. OpenStack 如 何 支持 厂商 网 络 
跟 Cinder 使 用 厂 阐 特定 插件 与 厂商 存储 系统 交互 一 样 ， Neutron 也 使 用 插件 管理 厂商 网 络 。 




































































4.2 OpenStack 与 厂商 技术 的 关系 89 


如 前 面 所 述 ， 插 件 在 OpenStack API 和 厂商 特定 API 之 间 做 转换 。 Neutron 和 厂商 网 络 间 的 关系 
如 图 4-16 所 示 。 


Openstack 服 务 








3 个 节点 在 同一 
物理 主机 上 。 





不 同 VLAN 的 节点 间 的 通信 
会 转移 到 厂商 网 络 。 


F 
= 
| 1 EE i 
,FT 
a 


VLAN1 中 的 2 个 
节点 在 主机 内 部 
互相 通信 不 用 通 
过 厂商 网 络 。 





图 4-14 ”传统 的 主机 内 部 通信 


读者 可 能 只 是 会 好 奇 厂商 网 络 管理 什么 。 问题 的 答案 是 视 情况 而 定 。 很 多 网 络 厂商 提供 了 很 
多 类 型 的 网 络 设备 。 这 些 设备 必须 至 少 在 网 络 层 通信 。 总 之 ， 如 果 不 能 在 网 络 和 设备 间 通 信 ， 网 
络 义 有 什么 用 呢 ? 


90 第 4 章 ”理解 私有 云 构建 模块 


Openstack 服 务 


Neutron 


< 过 


网 络 





两 个 主机 通过 


厂商 网 络 通信 。 C 至 
四 口中 上 口 


“EE 









厂商 网 络 -< < 虚拟 机 1 
EGG 
一 克 拟 机 2 


图 4-15 ”主机 到 主机 的 厂商 网 络 


软件 定义 网 络 (SDN ) 文 持 把 网 络 管理 和 通信 功能 分 开 。 因 为 OpenStack 也 是 一 种 SDN, 在 
处 理 广 商 硬件 和 软件 时 ， 这 种 所 谓 的 控制 平面 和 数据 平面 的 分 离 是 OpenStack 网 络 的 核心 。 


OpenStack 网 络 也 提供 L3 (第 3 层 ) 服务 在 厂商 网 络 环境 下 , OpenStack 功能 作为 网 络 控 制 器 。 
但 值得 注意 的 是 ，OpenStack 网 络 以 虚拟 路 由 、DHCP 和 其 他 服务 的 形式 提供 L3 服务 。 





图 4-17 展示 了 Neutron 在 控制 平面 通过 使 用 厂商 特定 插件 管理 网 络 设备 。 可 以 看 到 , 数据 平 

面 不 会 接触 到 Neutron。 事 实 上 ，Neutron 无 法 在 低层 面 洞悉 两 个 节点 是 如 何 通 信 的 。 但 Neutron 

知道 这 两 个 市 点 都 在 它 管理 的 某 个 网 络 人 硬件 上 ， 因 此 Neutron 可 以 配置 端点 通信 ， 不 管 通信 如 何 
引导 数据 平面 。 








4.2 OpenStack 与 厂商 技术 的 关系 
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Neutron pe Cinder 






厂商 网 络 人 \、 


虚拟 机 
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理解 SDN 和 OpenStack 网 络 


这 是 个 很 复杂 的 话题 , 读者 将 来 很 可 能 会 多 次 重 温 本 节 。 不 要 希望 阅读 本 书 就 可 以 完全 理解 SDN， 
但 理解 涉及 厂商 网 络 时 Neutron 的 基本 角色 非常 重要 。 很 有 可 能 你 本 地 的 网 络 专家 ( 除非 是 指 你 
会 比 你 更 了 解 涉及 OpenStack 网 络 时 的 SDN。OpenStack/Neutron 工作 在 控制 平台 来 管 
的 通信 ， 但 它 不 控制 与 疹 点 间 通 信 相 关 的 数据 平面 。 
这 种 新 的 考虑 网 络 的 方 陈 真正 题 桥 了 传统 网 络 。 本 节 已 经 介绍 过 如 何 让 OpenStack 管理 厂商 网 
0 OpenStack 控制 。 如 前 面 所 述 , OpenStack 可 以 以 传统 的 方式 来 做 
， 但 这 个 框架 最 好 是 充分 利用 SDN 模型 和 技术 。 开 放 网 络 基金 会 ( Open Networking 


Foundation，www.opennetworking.org ) 的 创建 就 是 用 来 促进 SDN 的 发 展 ， 这 也 是 深入 理解 SDN 
RE 





下 一 方 将 会 介绍 OpenStack 使 用 的 厂商 网 络 类 型 。 
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3. OpenStack 使 用 的 厂商 网 络 的 示例 


在 早期 版 本 的 OpenStack 中 ， 网 络 以 传统 方式 提供 ， 并 由 OpenStack 计算 ( Nova ) 管理 。 随 
者 OpenStack 计算 范围 之 外 的 网 络 管理 需求 的 增长 ，OpenStack 网 络 ( 开始 的 名 字 是 Quantum， 


后 来 才 改 成 Neutron ) 以 一 个 单独 的 项 目 开 发 。 





如 前 面 所 述 ，Neutron 使 用 厂商 特定 插件 管理 厂商 网 络 。 随 着 社区 增加 了 更 多 的 厂商 网 络 文 
持 , 通过 标准 插件 模块 来 进一步 模块 化 的 需求 出 现 了 。 模块 化 插件 的 好 处 包括 减少 见 余 代码 、 吻 


于 厂商 整合 和 标准 化 核心 网 络 功 能 。 








在 2013 年 下 半年 发 布 的 OpenStack Havana 版 本 中 ， 首 次 引入 Neutron 的 Modular Layer 2 
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( ML2 ) 插件 。ML2 插件 分 为 类 型 (type ) 和 实现 机 制 ( mechanism ) 驱动 。 图 4-18 展示 了 市 类 
型 驱动 和 实现 机 制 驱 动 的 ML2 插件 的 层次 结构 。 


Neutron 


3 


类 型 驱动 实现 机 制 驱动 


4-18 使 用 Neutron 的 ML2 插件 的 网 络 管理 





类 型 驱动 ， 如 名 称 所 示 ， 与 插件 管理 的 网 络 类 型 相关 。 可 以 把 类 型 驱动 想象 成 Neutron 是 如 
何 管理 问 点 的 。 例 如 ，Neutron 可 以 在 问 点 间 创 建 指定 的 隧道 ， 而 不 用 知道 问 点 间 的 网 络 。 这 又 
回 到 了 关于 控制 平面 和 数据 平面 分 离 的 讨论 本。 

实现 机 制 驱动 负责 管理 挂 载 到 端点 的 虚拟 和 物理 网 络 设 备 。 这 些 设备 创建 、 更 新 和 删除 网 络 
与 端口 资源 都 是 基于 类 型 驱动 的 需求 。 

ML2 的 目标 是 取代 现 有 的 很 多 庞大 的 插件 。 











OpenStack 里 厂商 网 络 的 示例 ”Neutron 为 很 多 厂商 开发 了 插件 ， 包 括 Arista、Cisco、 
Nicira/VYMware、NEC、Brocade、IBM 和 Juniper。 另 外 ，ML2 也 为 Big Switch/Floodlight、Arista、 
Mellanox、Cisco、Brocade 、Nicira/VMware 和 NEC 开发 了 驱动 。 





下 一 节 将 会 接触 在 本 书 第 一 部 分 学 到 的 内 容 和 将 会 在 第 二 部 分 介绍 的 内 容 。 


VX 为 什么 要 手动 部 署 


第 1 章 介 绍 了 OpenStack。 在 第 1 草 的 介绍 中 , 读者 知道 了 OpenStack 如 何 适 合 云 生态 系统 、 
为 什么 可 能 想 要 采用 这 项 技术 和 本 书 的 关注 点 是 什么 。 在 第 2 草 里 , 在 第 1 章 描 述 的 各 种 精彩 可 
能 的 驱使 下 ,有 限制 地 体验 了 OpenStack 框架 , 进行 了 一 些 不 需要 深入 了 解 这 个 框架 知识 的 练习 。 
第 3 草 介 绍 了 更 多 例子 , 但 这 次 从 操作 的 角度 深入 介绍 了 这 个 框架 的 结构 。 最 后 ,在 本 草 介 绍 了 
OpenStack 框架 的 组 件 如 何 与 三 商人 硬件 和 软件 交互 。 

这 4 董 问 读者 介绍 了 很 多 内 容 。 如 果 读 者 完成 所 有 的 练习 和 使 用 了 DevStack 部 闭环 境 ， 祝 
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中 你 ! 你 可 能 (很 不 注 ) 在 很 多 组 织 里 已 经 可 以 看 成 是 OpenStack 专家 了 。 尽 管 通过 本 书 的 第 一 
部 分 可 能 足够 让 你 看 起 来 像 一 个 专家 ， 但 在 跳 到 多 节点 生产 部 署 之 前 还 有 很 多 需要 学 习 的 。 

本 书 的 第 二 部 分 介绍 手动 部 署 OpenStack， 学 试 每 条 命令 和 配置 ， 解 释 包 含 的 步骤 和 这 些 步 
又 的 含义 。 如 果 读 者 的 目光 只 关注 高 层次 ， 或 者 计划 依赖 于 厂商 来 支持 OpenStack， 那 么 可 以 跳 
到 第 三 部 分 ， 第 三 部 分 会 介绍 与 OpenStack 生产 部 署 的 设计 、 实 现 甚至 财务 相关 的 内 容 。 尽 管 如 
此 ， 即 使 你 希望 由 厂商 提供 完整 的 管理 OpenStack 的 解决 方案 ， 了 解 这 部 分 的 内 容 还 是 有 一 定价 
值 的 。 作 者 建议 至 少 回顾 一 下 第 二 部 分 ， 即 使 谈 者 不 打算 自己 部 团 OpenStack 生产 环境 。 
































VX 小 结 


图 ”OpenStack 是 一 个 包含 多 个 项 目的 框 染 。 

国 OpenStack 项 日 指定 范围 从 核心 项 日 ( OpenStack 必需 部 分 ) 到 关联 项 日 (有 一 定 关 联 的 
项 目 )。 

OpenStack 使 用 分 布 式 核心 组 件 集合 来 工作 。 

核心 组 件 使 用 各 目的 API 互相 交互 。 

OpenStack 可 以 管理 广 商 提供 的 硬件 和 软件 。 

OpenStack 通过 组 件 插件 管理 厂商 提供 的 硬件 和 软件 。 














二 部 分 
于 动 部 堵 





组 成 OpenStack 的 底层 组 件 的 交互 很 重要 ， 但 并 不 能 把 它 当 成 OpenStack 部 署 的 蓝图 。 

OpenStack 基金 会 在 为 每 个 软件 的 发 行 版 提供 详细 文档 这 方面 做 得 很 好 
( http://docs.openstack.org/ )。 本 书 的 这 部 分 内 容 主 要 是 希望 能 通过 在 低层 面 介绍 各 个 组 件 和 配置 ， 
增加 读者 对 底层 系统 的 信心 。 通 过 这 部 分 内 容 , 希望 能 帮助 读者 足够 好 地 理解 OpenStack 架构 的 
底层 ， 以 便于 将 来 在 设计 生产 部 署 时 做 出 明智 的 决定 。 
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第 5 章 ”控制 器 部 团 


本 章 主要 内 容 

图 ”安装 控制 器 必 备 软件 

图” 部 赣 共 享 服务 

图 ”在 控制 器 端 配置 块 存储 、 网 络 、 计 算 和 Dashboard 服务 





本 书 前 两 章 介 绍 了 OpenStack 和 使 用 Horizon 网 页 界面 体验 了 这 个 框架 。 第 3 章 介绍 了 使 用 
命令 行 界面 (CLI) 时 的 基本 操作 任务 。 第 4 章 介 绍 了 OpenStack 各 组 件 间 的 关系 和 在 多 市 点 环 
境 的 分 布 。 本 书 的 第 一 部 分 是 为 了 让 读者 理解 OpenStack 可 以 做 什么 同时 熟悉 这 个 框 染 的 操作 
和 基本 理解 框 染 的 组 件 间 的 交互 。 在 本 书 的 第 二 部 分 将 会 深入 介绍 各 个 组 件 。 

阅读 完 本 书 这 部 分 ， 读 者 会 熟悉 各 个 OpenStack 核心 组 件 的 配置 、 使 用 和 布局 。 








本 书 不 会 的 目标 ”本 书 并 不 关注 于 OpenStack 运 维和 架构 的 最 佳 实践 。 这 些 重要 的 主题 非常 依赖 
于 OpenStack 发 行 版 和 用 户 的 需求 。 本 书 和 希望 可 以 帮助 读者 理解 OpenStack 框 染 的 基础 ， 这 些 基 
础 超过 个 人 的 需求 和 持续 存在 于 将 来 多 个 版 本 的 OpenStack 中 。 








本 书 的 第 一 部 分 基于 OpenStack 的 一 个 单 节 点 部 四 使 用 DevStack 来 安 疾 和 配置 OpenStack 
组 件 和 依赖 。 本 书 第 二 部 分 是 基于 OpenStack 的 多 节点 手动 部 署 ， 因 此 不 再 用 DevStack。 在 本 书 
第 二 部 分 , 将 使 用 Linux 发 行 版 提供 的 安装 包 管 理 系统 安装 组 件 软件 和 手动 配置 组 件 。 通 过 这 个 
过 程 中 ， 读 者 会 理解 OpenStack 各 个 组 件 的 依赖 、 配 置 、 关 系 和 使 用 情况 。 

图 5-1 展示 了 在 本 书 第 二 部 分 中 读者 将 会 重建 的 染 构 。 在 图 5-1 中 可 以 看 到 以 下 4 种 
i 

国 控制 器 一 一 这 个 节点 包含 控制 融和 其 他 共 孚 服务 。 这 个 节点 维护 服务 大 端的 API 服务 。 

控制 冀 协 调 组 件 请 求 和 作为 OpenStack 部 署 的 主要 接口 。 

图 ”网络 一 一 这 个 方 点 为 虚拟 机 提供 网 络 资源 ， 这 个 方 点 连接 了 内 部 OpenStack 网 络 和 外 部 
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网 络 。 
图 存储 一 一 这 个 点 为 虚拟 机 提供 和 管理 存储 资源 。 





图 “计算 一 一 这 个 节点 为 虚拟 机 提供 计算 资源 。 代 码 的 执行 会 出 现在 这 些 节 点 上 。 可 以 认为 
被 OpenStack 管理 的 虚拟 机 束 是 运行 在 这 些 和 点 上 。 


控制 器 节点 是 OpenStack ; S 、“ 控制 器 节点 是 OpenStack 
部 署 的 主要 接口 ， 该 节点 | fo | ”部 署 的 主要 接口 ， 该 节点 
托管 控制 器 和 共享 服务 ， 托管 控制 器 和 共享 服务 、 
维护 服务 和 协调 请 求 。 [@ 控制 器 ]| 。 维护 服务 和 协调 请 求 。 


Keystone Clance Horizon 


和 一 < DD 


身份 认证 局 爷 Dashboard 


Neutron | Cinder 




















公共 网 络 

网 络 节点 为 虚拟 机 Neutron 
提供 网 络 资源 。 它 二 存储 节点 为 虚拟 机 提 
连接 了 OpenStack 一 > 他 4 一 ” 供 和 管理 存储 资源 。 
内 部 和 外 部 网 络 。 区 

网 络 

计算 节点 为 虚拟 机 提供 计算 资源 。 

客户 网 络 代码 在 这 里 执行 。 被 OpenStack 

管理 的 虚拟 机 运行 在 这 里 。 


如 第 4 草 所 述 ， 在 OpenStack 分 布 式 醒 型 里 ， 资 源 节 点 从 控制 疹 ( 见 岁 5-1 ) 得 到 指令 。 可 
以 从 图 5-2 看 到 ， 将 会 在 每 章 进 行 多 节点 部 署 的 不 同 部 分 的 构建 。 本 章 将 会 构建 控制 融 节 点 〈 见 
图 5-2 的 顶部 )。 在 后 续 的 革 市 里 ， 将 会 构建 其 他 市 态 ( 网 络 、 存 储 和 计算 ) 来 完成 OpenStack 
多 扩 扩 的 手动 部 牙 。 
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继续 本 章 之 前 , 读者 必须 可 以 访问 一 个 全 新 安装 的 Ubuntu 14.04 的 物理 或 虚拟 节点 。 附 录 提 
供 了 安装 Ubuntu 14.04 的 教程 。 
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Keystone Clance Horizon 


《= CIO 


身份 认证 镜像 Dashboard 


Neutron 


> 





第 8 章 
5-2” ”部署 线路 图 


应 该 使 用 哪个 操作 系统 发 行 版 ”本 书 第 二 部 分 (第 S$ 章 一 第 8 章 ) 的 例子 都 是 使 用 Ubuntu 14.04 
(Ubuntu 服务 器 长 期 支持 版 )。 这 个 版 本 的 Ubuntu 包含 Icehouse 版 本 的 OpenStack， 并 保证 支持 
到 2019 年 4 月 。 


在 第 2 章 的 部 署 中 ，DevStack 安装 和 配置 OpenStack 依赖 。 本 章 需 要 手动 安装 这 些 依 
束 。 科 运 的 是 ， 可 以 使 用 安装 包 管 理 系统 来 安装 软件 (不 需要 编译 )， 但 还 是 需要 手动 配置 
这 些 组 件 。 





小 心 进行 ”在 多 节点 环境 工作 增加 了 部 署 和 问题 排查 的 复杂 度 。 组件 或 依赖 配置 的 一 个 看 起 来 不 
相关 的 很 小 的 错误 ,都 有 可 能 造成 非常 难以 排查 的 问题 。 仔 细 赔 读 每 委 ， 确保 理解 要 安装 和 配置 
的 软件 。 


下 面 的 多 个 例子 都 包含 确认 步 台 , 读者 不 应 该 跳 过 这 些 步 怠 。 如 有 果 某 个 配置 确认 失败 ,读者 
应 该 回 退 到 前 面 的 确认 点 重新 开始 。 这 种 做 法 可 以 大 大 降低 用 户 的 挫败 感 。 
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5.1.1 准备 环境 

除了 网 络 配 置 外 ,所 有 市 点 的 环境 准备 都 相似 。 第 5 章 一 第 8 章 摘 述 手动 部 署 时 基于 4 种 物 
理 市 点 : 控制 锅 、 网 络 、 存 储 和 计算 。 

如 果 有 有 额外 的 可 用 节点 ,额外 的 资源 证 点 ( 计算、 网络 和 存储 ) 可 以 简单 通过 重复 资源 的 配 
置 进行 添加 部 署 。 如 果 想 次 加 额外 的 计算 和 节点， 简单 重 复 第 8 革 介 绍 的 配置 计算 市 点 的 步 骆 。 同 
样 , 如 果 没 有 这 么 多 节点 , 可 以 组 合 服务 , 如 把 网 络 和 计算 部 署 在 同一 个 和 点 上 。 为 了 清晰 起 见 ， 
本 书 这 部 分 的 例子 都 把 OpenStack 核心 服务 分 开 部 署 在 独立 节点 上 。 从 第 2 草 可 以 看 到 ,可 以 把 
OpenStack 部 署 到 单一 节点 上 ， 但 多 节点 更 有 趣 (有 好 处 )。 

是 时 候 开 始 了 。 在 本 章 给 目 己 多 一 些 时 间 。 控 制 希 的 安装 需要 一 段 时 间 ， 因 为 要 配置 所 有 后 
瘦 服 务 来 启动 控制 右 。 一旦 部 莹 好 控制 薪 ， 设置 资源 节点 (网络 、 存 储 和 计算 ) 就 不 用 消耗 这 人 么 
多 时 间 了 。 





























5.1.2 配置 网 络 接口 

需要 配置 控制 可 节点 的 网 络 接口 ， 一 个 接口 用 于 面 问 客户 的 流量 ， 太 一 个 用 于 OpenStack 内 
部 管理 。 从 技术 上 来 看 ， 可 以 只 使 用 控制 尊 上 的 单个 接口 ,但 读者 很 快 承 会 了 解 到 OpenStack 允 
许 为 操 作 指定 多 个 网 络 〈 公 网 、 内 部 和 管理 )。 


1， 回顾 网 络 


配置 网 络 接口 的 第 一 步 是 检查 服务 天 上 的 物理 接口 。 然 后 , 配置 这 些 接口 用 于 OpenStack 环 
境 。 可 以 通过 代码 清单 5-1 所 示 的 ifconfig -a 命令 来 列举 所 有 接口 。 























代码 清单 5-1 列举 接口 
$ ifconfig -a 
eml Link encap:Ethernet HWaddr b8:2a:72:d3:09:46 
inet addr:10.33.2.50 Bcast:10.33.2.255 
inet6 addr: fe80::ba2a:72ff:fed3:946/64 Scope:Link 
UP BROADCAST RUNNING MULTICAST MIU:1500 Metric:1 


RX packets:950 errors:0 dropped:0 overruns:0 frame:0 





TX packets:117 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen:1000 

RX bytes:396512 (396.5 KB) TX bytes:17351 (17.3 KB) 
Interrupt:35 


em2 Link encap:Ethernet HWaddr b8:2a:72:d3:09:47 
BROADCAST MULTICAST MIU:1500 Metric:1 
RX packets:0 errors:0 dropped:0 overruns:0 frame:0 
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen:1000 
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B) 
Interrupt:38 
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读者 也 许 会 看 到 很 多 个 接口 ， 但 现在 只 需要 关注 eml 和 em2 ， 这 两 个 接口 将 用 于 公 网 和 内 
部 网 络 。 在 这 个 示例 控制 器 ，em1 用 作 公 网 接口 ，em2 用 作 内 部 接口 。eml 已 经 分 配 了 作为 
OpenStack 公 网 地 址 的 一 个 地 址 ，em2 接口 作为 内 部 接口 被 使 用 。 有 具体 的 网 络 地 址 、VLAN 和 接 
口 功 能 将 会 在 下 一 市 介绍 。 

接 下 来 需要 在 控制 融 广 点 配置 物理 接口 。 


2. 配置 网 络 


在 Ubuntu 系统 里 ,接口 配置 是 通过 文件 /etc/network/interfaces 来 维护 的 。 如 果 使 用 其 他 Linux 
发 行 版 本 ， 则 需要 检查 具体 发 行 版 本 的 网 络 接口 配置 。 
我 们 将 会 基于 表 5-1 中 的 斜体 字体 的 地 址 来 对 控制 大 节 点 进行 配置 。 


表 5-1 网 络 地址 表 


节 点 | 地 址 / 子 网 挤 码 
龙 秽 区 YE /BR 10.33.2.50/24 
龙 入 攻 一 | 192.168.0.50/24 
网 络 保留 : 分 配给 OpenStack 网 络 
存储 0 10.33.2.52/24 
“功能 ” 列 术语 解释 如 下 。 
图 公 网 接口 一 一 被 租户 用 户 、Horizon 和 公 网 API 调用 访问 ; 
图 书 点 地 址 一 一 节点 的 主 地 址 ( primary address )。 这 个 地 址 并 不 是 必须 为 公 网 地 址 ， 但 为 了 
简单 起 见 ， 例 子 中 会 把 控制 各 的 公 和 用 于 资源 市 点 的 节点 接口 放 在 同一 个 网 络 上 ; 
图 OpenStack 内 襄 言 的 接口 ， 包 括 AMQP 和 内 部 API 等 。 





























网 络 接口 名 称 ”网 络 接 口 名 称 会 基于 硬件 在 服务 器 的 顺序 和 位 置 而 不 同 。 例 如， 集成 在 主板 的 接 
口 会 以 em< 端 口 编号 >( 主板 上 的 以 太 网 < 1,2…> ) 的 形式 显示 , PCI 独立 接口 会 以 p< 插 模 编号 > p< 
端口 编号 >_< 虚 拟 功能 实例 > 的 形式 显示 。 





为 了 修改 网 络 配置 或 其 他 特权 配置 ， 必须 使 用 sudo 特权 (sudo vi /etc/network/ 
interfaces )。 读者 应 该 知道 ，sudo 命令 允许 普通 用 户 使 用 提升 的 特权 来 执行 命令 。 

代码 清单 5-2 展示 了 网 络 接口 配置 样 例 。 基 于 表 5-1 的 值 或 者 你 的 地 址 模式 ， 修 改 你 的 接口 
配置 。 
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代码 清单 5-2 ”在 /etc/network/interfaces 中 修改 接口 配置 





# The loopback network interface 
auto lo 


iface lo inet loopback 


# The Public/Node network interface 

auto eml 

iface eml inet static 
address 10.33.2.50 
netmask 255.255.255.0 
network 10.33.2.0 
broadcast 10.33.2.255 
gateway 10.33.2.1 
dns-nameservers 8.8.8.8 


dns—search testco.com 


# The OpenStack Internal Interface 
auto em2 
iface em2 inet static 
address 192.168.0.50 
netmask 255.255.255.0 


现在 应 该 刷新 网 络 配 置 使 更 改 的 网 络 配 置 生效 。 首 完 ， 如 来 改变 了 主 接口 的 地 址 ,你 应 该 现 
在 就 重 司 服务 天 ,因为 在 刷新 后 会 丢失 与 系统 的 连接 。 如 末 没 有 改变 主 接口 的 地 址 ， 在 刷新 后 就 
不 会 出 现 连接 中 呆 。 

代码 清单 5-3 展示 的 命令 用 来 刷新 网 络 配置 ， 同 时 会 有 输出 。 








代码 清单 5-3 ”刷新 网 络 配置 





$ sudo ifdown em2 && sudo ifup em2 


这 些 网 省 配 置 届 六 该 生效 了 。 这 些 接口 会 基于 配置 自动 上 线 。 这 个 过 程 可 以 对 每 个 需要 刷新 配 
置 的 接口 重复 进行 。 





为 了 确保 配置 已 经 生效 ， 可 以 利用 代码 清单 5-4 所 示 的 命令 再 次 检查 接口 。 
代码 清单 5-4 ”检查 网 络 的 更 新 





$ifconfig -a 

eml Link encap:Ethernet HWaddr b8:2a:72:d3:09:46 
inet addr:10.33.2.50 Bcast:10.33.2.255 Mask:255.255.255.0 
inet6 addr: fe80::ba2a:72ff:fed3:946/64 Scope:Link 
UP BROADCAST RUNNING MULTICAST MIU:1500 Metric:1 
RX packets:3014 errors:0 dropped:0 overruns:0 frame:0 
TX packets:656 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen:1000 
RX bytes:2829516 (2.8 MB) TX bytes:94684 (94.6 KB) 
Interrupt:35 


em2 Link encap:Ethernet HWaddr b8:2a:72:d3:09:47 
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inet addr:192.168.0.50 Bcast:192.168.0.255 Mask:255.255.255.0 
inet6 addr: fe80::ba2a:72ff:fed3:947/64 Scope:Link 

UP BROADCAST RUNNING MULTICAST MIU:1500 Metric:1 

RX packets:1 errors:0 dropped:0 overruns:0 frame:0 

TX packets:6 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen:1000 

RX bytes:64 (64.0 B) TX bytes:532 (532.0 B) 

Interrupt:38 


现在 应 该 可 以 远程 访问 控制 可 服务 厢 ， 该 控制 可 服务 如 应 该 可 以 访问 互联 网 。 后 续 的 安 猴 可 
以 远程 使 用 SSH 或 者 下 接 在 控制 台 执 行 。 


5.1.3 更 新 安 汶 包 
Ubuntu 14.04 LTS 包含 OpenStack Icehouse (2014 年 1 月 ) 版 本 ， 包 括 以 下 组 件 : 
































图 Nova 一 一 OpenStack 计算 项 目 ， 作 为 Iaags 云 结 构 控 制 大 

图 Glance 一 一 为 虚拟 机 镜像 、 发 现 、 获 取 和 注册 提供 服务 ; 

图 Swift 一 一 提供 高 扩展 性 、 分 布 式 对 象 存储 服务 ; 

国 ”Horizon OpenStack Dashboard 项 目 ， 提供 基于 Web 的 管理 员 / 用 户 GUI ( 图 形 界面 ); 
图 ” Keystone 一 一 为 OpenStack 套件 提供 号 份 认证 、 令 有 牧 、 目 录 和 策略 服务 ，; 

国 ” Neutron 为 OpenStack 组 件 提供 网 络 管理 服务 ; 

国 Cinder 为 OpenStack 计算 提供 块 存 储 服务 ; 

国 Ceilometer 提供 了 资源 使 用 度量 的 集中 记录 ; 

图 ” Heat 一 一 为 OpenStack 资源 提供 了 应 用 级 别 的 编排 。 





想 要 使 用 一 个 不 同 的 操作 系统 或 OpenStack 版 本 读者 可 能 会 倾向 于 使 用 不 同 的 Linux 发 行 版 或 
与 当前 版 本 不 同 OpenStack 版 本 。 但 是 ， 强 烈 推 荐 使 用 本 书 指定 的 版 本 。 一 旦 从 基础 和 操作 层面 
理解 了 OpenStack， 可 以 随便 迁移 到 新 版 本 。 


Ubuntu Linux 发 行 版 为 包 管理 使 用 APT 系统 。APT 包 索 引 是 定义 在 /etc/apt/sources.list 文件 中 
所 有 可 用 包 的 数据 库 。 你 需要 确保 本 地 的 数据 库 与 指定 的 Linux 发 行 版 存储 库 中 的 最 新 可 用 包 同 
步 。 在 安装 OpenStack 前 , 需要 和 完 升级 所 有 库 项 目 , 包括 Linux 内 核 , 因为 内 核 也 可 能 不 是 最 新 的 。 
代码 清单 5-5 展示 了 如 何 更 新 和 升级 服务 入 上 的 包 。 





代码 清单 5-5 ”更 新 和 升级 包 


sudo apt-get ~y update 





sudo apt-det ~y upgrade 


一 旦 更 新 和 升级 完 这 些 包 ， 就 应 该 重启 服务 需 来 刷新 任何 可 能 改变 的 包 或 配置 ， 如 代码 清 
单 5-6 所 示 。 
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代码 清单 5-6 重启 服务 器 





sudo reboot 


现在 可 以 安装 OpenStack 软件 依赖 了 。 


5.1.4” 安 泌 软件 依赖 


在 OpenStack 环境 里 ,依赖 指 的 是 那些 不 是 OpenStack 项 目的 软件 ， 但 又 是 OpenStack 组 件 
必需 的 。 这 些 软件 用 来 运行 OpenStack 代码 (Python 和 相关 模块 )、 队 列 系统 (RabbitMQ ) 和 数 
据 库 平台 (MySQL ) 等 。 

本 节 将 会 介绍 OpenStack 软件 依赖 的 部 署 。 你 将 会 以 安装 RabbitMQ 开始 。 


1. 安装 RabbitMQ 


EE 
[= 


RabbitMQ 是 一 个 遵守 高 级 消息 队列 协议 ( Advanced Message Queuing Protocol，AMQP ) 的 
队列 系统 ， 允 许 在 大 规模 分 布 式 系统 中 保证 消息 的 传递 和 顺序 。OpenStack 使 用 RabbitMQ 消息 
服务 作为 它 的 默认 队列 系统 ， 人 允许 OpenStack 组 件 间 快 速 和 有 序 消息 的 通信 。 

可 以 使 用 APT 或 者 Linux 发 行 版 相应 的 软件 包 管理 系统 来 安装 RabbitMQ。 代 码 清单 5-7 展 
示 了 使 用 APT 安装 的 过 程 。 


代码 清单 5-7 安装 RabbitMQ 





sudo apt-get -~y install rabbitmq-server 


执行 上 述 命令 后 ,会 有 如 下 输出 : 


The following extra packages will be installed: 
erlang-asnl erlang-base erlang-corba ... 
libltdl7 libodbcl libsctpl lksctp-tools ... 


Setting up rabbitmqgq-server (3.2.4-1) ... 

Adding group rabbitmq' (GID 118) ... 

Done. 

Adding System user rabbitmg' (UID 111) ... 

Adding new user rabbitmgq' (UID 111) with group rabbitmq' ... 
Not creating home directory ‘/var/lib/rabbitmq'. 


* Starting message broker rabbitmq-server 


如 果 看 到 [* FAILED - check /var/log/rabbitmq/startup...] 这 样 的 错误 ， 需 
确保 /etc/hostname 中 的 主机 名 匹配 /etc/hosts 里 相应 的 主机 ， 有 必要 的 话 需 要 重启 。 

RabbitMQ 会 自动 创建 名 为 guest 并 且 有 管理 员 权 限 的 用 户 。 可 以 更 改 guest 账号 的 密码 ， 
代码 清单 5-8 将 密码 更 改 为 openstack1。 





代码 清单 5-8 配置 RabbitMQ guest 的 密码 


$ sudo rabbitmqctl1 change password guest openstackl 
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Changing password for user "guest" ... 


. .done. 


现在 必须 验证 RabbitMQ 是 否 正 常 运行 ， 如 代码 清单 5-9 所 示 。 





代码 清单 5-9 验证 RabbitMQ 的 状态 


$sudo rabbitmqctl1 status 


Status of node rabbit@controller ... 

[{pid,2452}, 

{running_applications, [{rabbit,"RabbitMO","3.2.4"}, 
{mnesia, "MNESIA CXC 138 12","4.11"}, 
{os_mon,"CPO CXC 138 46"™," 27.2.14"}, 
{xmerl, "XML parser","1.3.5"}, 
{sasl, "SASL CXC 138 11","2.3.4"}, 
{stdlib, "ERTS CXC 138 10"™,"1.19.4"}, 
{kernel, "ERTS CXC 138 10"™,"2.16.4"}]}, 


. .done. 


现在 已 经 有 了 准备 给 OpenStack 使 用 的 RabbitMQ 完整 功能 的 部 署 。 
2. 安装 My9QL 


OpenStack 使 用 传统 的 关系 型 数据 库 来 存储 配置 和 状态 信息 。 默 认 OpenStack 被 配置 为 所 有 
组 件 使 用 一 个 内 置 的 SQLite 数据 库 , 但 由 于 MySQL 的 性 能 和 通用 性 ， 如 配置 组 件 使 用 
MySQL 来 蔡 代 SQLite。 使 用 MySQL 服务 需 来 作为 后 端 配置 和 状态 的 存储 。 第 5 草 一 第 8 草 所 
有 部 署 的 OpenStack 组 件 使 用 的 数据 库 将 使 用 这 里 部 署 的 中 心 数据 库 。 

可 以 使 用 APT 或 者 Linux 发 行 版 相应 的 软件 包 管 理 系统 来 安装 MySQL。 代 码 清 单 5-10 展示 
了 APT 的 安装 方式 。 








代码 清单 5-10 ”安装 MySQL 
$ sudo apt-get ~y install python-mysqldb mysql-server 


Reading package lists... Done 

Building dependency tree 

Reading state information... Done 

Suggested packages: 
python-mysqldb-dbg 


The following NEW packages will be installed: 
mysql—-server python-mysqldb 


Setting up libaiol:amd64 (0.3.109-3) 

Setting up libmysqlclientl8:amd64 (5.5.29-0ubuntul) 
Setting up libnet-daemon-perl (0.48-1) 

Setting up libplrpc-perl (0.2020-2) 

Setting up libdbi-perl (1.622-1) 
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Setting up libdbd-mysql-perl (4.021-1) 

Setting up mysql-client-core-5.5 (5.5.38-0ubuntul) 
Setting up libterm-readkey-perl (2.30-4build4) 
Setting up mysql-client-5.5 (5.5.38-0ubuntul) 
Setting up mysql-server-core-5.5 (5.5.38-0ubuntul) 
Setting up mysql-server-5.5 (5.5.38-0ubuntul) 
Setting up libhtml-template-perl (2.91-1) 

Setting up python-mysqldb (1.2.3-lubuntul) 

Setting up mysqdql-server (5.5.38-0ubuntul) 

Setting up mysdl-server (5.5.38-0ubuntu0.14.04.1) 
Setting up python-mysqldb (1.2.3-lbuildl) 


当 出 现 输入 提示 时 , 输入 openstackl 作为 MySQL root 账号 的 密码 。 当 然 , 读者 可 以 使 用 
任何 喜欢 的 密码 , 但 记得 在 本 书 所 有 的 例子 中 使 用 相同 的 密码 一 一 所 有 例子 都 会 使 用 这 里 设置 的 
罕 人 码 。 

为 了 让 本 地 的 MySQL 实例 能 被 外 部 服务 ( 使 用 内 部 网 络 的 其 他 市 点 和 访问 ,需要 改变 MySQL 
启动 时 绑 定 的 地 址 。 使 用 言 欢 的 文本 编辑 器， 打开 /etc/mysql/my.cnf， 然后 如 代码 清单 5-11 所 示 
修改 绑 定 地 址 bind-address 为 0.0.0.0。 





代码 清单 5-11 ”修改 /etc/mysdqymy.cnf 


# Instead of skip-networking the default is now to listen 





#only on localhost which is more compatible and is not 


#less secure. 


#bind-address = 127.0.0.1 
#Bind to Internal Address of Controller 
bind-address = 0.0.0.0 


MySQL 的 性 能 ”介绍 MySQL 性 能 调 优 超出 本 书 的 范围 , 但 读者 应 该 认识 到 MySQL 性 能 会 影响 
OpenStack 的 性 能 。 因 为 状态 和 配置 信息 都 是 通过 MySQL 来 维护 , 所 以 MySQL 服务 器 的 性 能 差 
会 对 OpenStack 性 能 有 多 方面 的 负面 影响 。 在 多 用 户 和 生产 环境 ， 推 荐 花 时 间 来 理解 和 配置 
/etc/mysql/my.cnf 里 与 性 能 相关 的 设置 。 





现在 需要 重启 MySQL， 然 后 检查 它 的 操作 ， 如 代码 清单 5-12 所 示 。 


代码 清单 5-12 ”重启 和 验证 MySQL 是 否 运 行 和 可 访问 


sudo service mysdl restart 





sudo service mysql status 


mysqladmin -u root -hn localhost -p status 
执行 上 述 命令 后 ， 可 以 得 到 这 样 的 输出 : 


$ sudo service mysql restart 
[mysql stop/waiting 
mysql start/running, process 17396 
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$ service mysql status 


mysql start/running, process 17396 


$ mysqladmin -u root -h localhost -p status 

Enter password: <enter openstackl as set in previous step> 
Uptime: 193 Threads: 1 Questions: 571 Slow queries: 0 
Opens: 421 Flush tables: 1 Open tables: 41 


Queries per second avg: 2.958 
现在 有 了 正常 运行 的 MySQL 实例 。 如果 MySQL 安装 过 程 没有 出 现 错误 , 但 实例 启动 失败 ， 
应 该 检查 一 下 /etc/mysql/my.cnf 文件 在 修改 [bind-address=0.0.0.0] 时 是 否 有 手 误 。 


3. 访问 MyS QL 控制 台 


MySQL 控制 台 通常 从 MySQL 客户 并 应 用 程序 被 访问 。mysql 命令 可 以 市 上 多 个 参数 ， 包 
括 -u <username> 、-h <hostname> 和 -p <password>。 

可 以 让 密码 空 日 然后 提示 时 再 输入 , 或 者 作为 命令 的 一 部 分 输入 。 注 意 参 数 -p 和 密码 之 间 没 
有 空格 。 如 采 读 者 也 是 用 openstackl 这 个 密码 ， 那 访问 MySQL 控制 台 的 命令 应 该 是 这 样 
mysql -u root -Popenstackl。 


代码 清单 5-13 展示 了 通过 提示 输入 密码 方式 来 登录 。 





代码 清单 5-13 以 root 账 号 登录 MySQL 服务 器 


$ mysql -u root -p 





Enter password: <enter mysql root password> 

<verbose text removed> 

mysql> 

现在 已 经 确认 MySQL 服务 正常 运行 , 也 可 以 访问 它 的 控制 台 , 可 以 进行 下 一 步 组 件 的 安装 。 
在 本 书 整个 第 二 部 分 无 论 什 么 时 候 需 要 创建 数据 库 和 对 用 户 授权 ， 回 来 参考 代码 清单 5-13。 


Xe 部 署 共 吾 服务 


OpenStack 共享 服务 是 那些 横路 计算 、 存 储 和 网 络 服务 ， 且 被 这 些 OpenStack 组 件 共享 的 服 
务 。 下 面 是 一 些 官方 OpenStack 共享 服务 : 

国 身份 认证 服务 (Keystone ) 为 OpenStack 套件 提供 身份 认证 、 令 牌 、 目 录 和 策略 服务 ; 

图 镜像 服务 ( Glance ) 一 一 为 虚拟 机 镜像 发 现 、 获 取 和 注册 提供 服务 ; 

国 计量 服务 ( Ceilometer ) 一 一 为 OpenStack 套件 的 检测 和 测量 信息 提供 中 心服 务 ; 

图 编排 服务 (Heat ) 一 一 使 用 来 自由 OpenStack 管理 的 虚拟 机 资源 的 脚本 使 应 用 程序 被 

部 署 ; 
图 数据库 服务 (Trove ) 一 一 使 用 OpenStack 提供 基于 云 的 关系 型 或 非 关 系 型 数据 库 服务 。 
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第 5 草 一 第 8 章 将 会 有 限度 地 介绍 这 些 共 衬 服 务 的 前 面 两 种 〈 吴 份 认 证 和 镜像 服务 )， 这 些 
钙 基 本 虚拟 机 供给 必需 的 。 通 过 这 两 种 服务 的 部 车, 该 者 应 该 可 以 获得 足够 的 了 解 去 部 署 其 他 可 
选 的 服务 。 其 中 的 一 些 可 选 服务 将 会 在 本 书 第 三 部 分 详细 介绍 。 





5.2.1 部署 身 份 认 证 服务 ( Keystone ) 


OpenStack 号 份 认证 服务 ， 如 名 字 所 示 ,， 是 对 OpenStack 整个 框架 记录 所 有 刁 份 信息 〈 用 户 、 
角色 和 租户 等 ) 的 系统 。 它 为 所 有 OpenStack 组 件 提 供 了 认证 、 授 权 和 资源 目录 这 样 一 个 共同 分 
享 的 身份 认证 服务 。 这 个 服务 可 以 配置 来 与 现 有 的 后 端 服务 ,如 Microsoft Active Directory ( AD ) 
和 Lightweight Directory Access Protocol (LDAP ) 整合 ， 或 者 可 以 独立 运行 。 它 文 持 多 种 形式 的 
认证 方式 : 包括 用 户 名 和 密码 、 基 于 令 牌 的 插 证 和 AWS 风格 (REST ) 的 登录 。 

管理 员 角 色 的 用 户 使 用 身份 认证 服务 (Keystone ) 来 管理 所 有 OpenStack 的 用 户 身 份 信息 ， 
包括 下 面 这 些 任务 : 

图 ”创建 用 户 、 租 户 和 角色 ; 

加 ”基于 角色 访问 控制 ( RBAC ) 策略 分 配 资 源 权 限 ; 

国 配置 认证 和 授权 。 

没有 管理 员 权 限 的 用 户主 要 通过 Keystone 来 进行 认证 和 授权 操作 。 

Keystone 维护 下 面 的 对 象 : 

图 ”用户 一 一 如 你 所 想 ， 是 系统 的 用 户 ， 如 admin 和 guest 用 户 ; 

图 租户 一 一 用 来 对 资源 、 权 限 和 用 户 分 组 的 项 目 (租户 ); 

图 角色 一 一 定义 了 一 个 用 户 在 某 个 租户 的 权限 ; 

图 服务 一 一 在 Keystone 实例 里 注册 的 服务 组 件 ， 如 计算 、 网 络 、 镜 像 和 存储 服务 ， 可 以 把 

它们 当成 是 OpenStack 部 署 提 供 的 服务 列表 ; 

图 端点 ( endpoint ) 一 一 在 特定 的 Keystone 服务 套 注 册 的 具体 服务 API 的 URL 地 址 ， 可 以 

想象 成 是 OpenStack 部 署 提 供 的 服务 的 连接 信息 。 

下 一 证 将 会 从 软件 仓库 安装 Keystone 包 和 配置 这 个 服务 。 


]. 安装 身份 认证 服务 (Keystone) 


第 一 步 是 安装 Keystone 包 和 相关 依赖 ， 命 令 如 代码 清单 5-14 所 示 。 





























代码 清单 5-14 安装 Keystone 包 


sudo apt-get -y install keystone 
执行 上 述 命 令 后 ， 可 以 得 到 这 样 的 输出 : 


Reading package lists... Done 


Building dependency tree 
Reading state information... Done 


The following extra packages will be installed: 
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dbconfig-common Python-keystone python-keystoneclient 
python-passlib python-prettytable 
Suggested packages: 
Python-memcached 
The following NEW packages will be installed: 
dbconfig-common keystone Python-keystone 
python-keystoneclient python-passlib python-prettytable 
0 upgraded, 6 newly installed, 0 to remove and 0 not 
upgraded. Need to get 751 kB of archives. 
After this operation, 3,682 kB of additional disk space will 
be used. 


Preconfiguring packages ... 
keystone start/running, process 6692 


openstackl@openstackl:~$ id keystone 
uid=114 (keystone) gid=124 (keystone) groups=124 (keystone ) 


安装 过 程 会 获取 Keystone 二 进 制 文件 ， 为 Keystone 服务 设置 一 个 名 为 keystone 的 账户 ， 
把 默认 配置 文件 放 在 /etc/keystone 目录 下 。 


2. 配置 Keystone 数据 存储 


默认 情况 下 ，Keystone 会 使 用 本 地 的 SQLite 数据 库 。 在 本 例 中 ， 该 者 将 会 部 署 一 个 多 节点 
的 系统 , 而 SQLite 不 适合 , 因为 SQLite 数据 库 不 能 被 远程 访问 ,性 能 也 很 有 限 。 可 以 使 用 MySQL 
替代 SQLite。 

首先 要 登录 到 数据 库 服 务 锅 ， 如 5$.1.4 市 的 “访问 MySQL 控制 侣 ”小 节 所 述 。 本 书 这 部 分 
的 剩余 部 分 使 用 的 服务 的 MySQL 账号 定义 形式 为 服务 名 加 “_dbu”， 如 keystone 服务 的 是 
keystone_dbu。 需 要 创建 keystone 数据 库 和 MySQL 用 户 keystone_dbu， 然 后 授予 用 户 访 
问 keystone 数据 库 的 权限 。 

在 MySQL 里 ， 用 户 创 建 和 权限 授予 功能 可 以 在 相同 的 步骤 完成 。keystone.* TO 
'keystone_dbu'@'%' 这 条 命令 指定 MySQL 用 户 keystone_qdbu 可 以 从 任何 远程 地 址 访问 
keystone 数据 库 里 的 对 象 。 














代码 清单 5-15 展示 了 创建 数据 库 、 创 建 用 户 和 授权 访问 的 命令 。 
代码 清单 5-15 “创建 数据 库 和 授权 访问 





mysql> CREATE DATABASE keystone; 
Query OK, 1 row affected (0.00 sec) 


mysql> GRANT ALL ON keystone dbu.* TO '‘'keystone'@'localhost' \ 
—> IDENTIFIFED BY ‘openstackl'; 
Query OK, 0 rows affected (0.00 sec) 


可 以 通过 代码 清单 5-16 所 示 的 命令 来 验证 数据 库 的 创建 。 
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代码 清单 5-16 验证 数据 库 和 用 户 
Show grants for ‘keystone dbu'@'localhost'; 
在 下 面 的 命令 输出 中 可 以 看 到 ，MySQL 用 户 keystone_qdbu 现在 有 了 keystone 数据 库 的 
访问 权限 : 





| GRANT USAGE ON *.* TO ‘keystone dbu'Q@'localhost' *removed password* 
| GRANT ALL PRIVILEGES ON ‘keystone .* TO 'keystone'@'localhost' 


2 rows ln set (0.00 sec) 


现在 可 以 退出 MySQL shell。 无 论 什 么 时 候 都 可 以 通过 在 提示 和 从 mysql> 下 输入 quit 并 按 回 
车 键 退出 shell。 


SQL 访问 和 权限 改变 在 前 面 的 数据 库 创建 例子 中 ,读者 可 能 会 注意 到 授予 的 数据 库 权 限 不 但 允 
许 被 localhost 访 问 , 而 且 可 以 被 其 他 任何 主机 访问 。 ns 了 人 允许 在 远程 服务 器 上 的 组 件 直接 访 
问 数 据 库 。 在 生产 环境 中 ,你 可 能 想 分 配 数 据 库 资 源 给 本 地 主机 或 者 允许 某 些 主机 数据 库 级 别 的 
访问 ， 而 不 是 所 有 主机 。 





默认 情况 下 , Keystone 的 数据 存储 是 SQLite, 因此 现在 需要 配置 它 去 使 用 MySQL。 Keystone 
通过 一 个 主要 的 配置 文件 /etc/keystone/keystone.conf 进行 配置 。 为 了 改变 数据 存储 到 MySQL , 修 
改 /etc/keystone/keystone.conf 文件 中 [sql] 部 分 的 connection 行 ， 如 代码 清单 5-17 所 示 。 





代码 清单 5-17 ”修改 /etc/keystone/keystone.conf 


[sqgql] 
#connection = sqlite:////var/lib/keystone/keystone.db 


connection = mysql://keystone dbu:openstackl@localhost:3306/keystone 
mysql_sql mode=TRADITIONAL 


MySQL 连接 字符 串 的 格式 是 [db_username]:[db username password]@[qdb_ 
hostnamel]: [db port]l/[db namel], 
改动 在 下 一 次 Keystone 重启 时 生效 。 重 启 Keystone 过 程 如 代码 清单 5-18 所 示 。 


代码 清单 5-18 重启 Keystone 


$ sudo service keystone restart 





keystone stop/waiting 


keystone start/running, process 7868 


现在 已 经 配置 了 MySQL 用户 和 Keystone 服务 的 数据 库 ， 还 配置 了 Keystone 使 用 MySQL 
作为 数据 库 ， 重 局 了 Keystone 服务 。 但 在 开始 使 用 Keystone 前 ， 还 需要 以 Keystone 模式 初始 化 
数据 库 ， 下 一 节 将 会 介绍 
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3. 初始 化 Keystone 数据 库 


已 经 创建 了 Keystone 数据 库 ， 也 配置 了 服务 使 用 它 ， 但 数据 库 是 空 的 ， 因 此 需要 对 它 进行 
初始 化 。 初 始 化 过 程 就 是 在 配置 文件 /etc/keystone/keystone.conf 里 构建 本 地 数据 库 模 式 。 

可 以 通过 代码 清单 5-19 所 示 的 命令 来 初始 化 Keystone 数据 库 。 如 果 没 有 输出 ， 则 说 明 执行 
成 功 。 





代码 清单 5-19 ”初始 化 数据 存储 


sudo keystone-manage db_sync 


现在 Keystone 服务 可 以 使 用 MySQL 作为 后 端 数 据 存储 运行 了 。 下 面 需要 使 用 Keystone 创 





建 OpenStack 对 象 ( 用 户 、 角 色 和 租户 等 )。 
4. 初始 化 Keystone 变量 

下 一 步 是 加 入 用 户 .租户 和 角色 到 Keystone。 要 训 Keystone 服务 ,必须 先 配 置 一 些 Keystone 
用 来 进行 认证 的 临时 环境 变量 。 

使 用 喜欢 的 文本 编辑 器 ， 在 主 ( home ) 目录 创建 名 为 keystone.auth 的 文件 ， 内 容 如 代码 清 
单 5-20 所 示 。 


代码 清单 5-20 ”创建 keystone.auth 





#TIhis file contains environmental variables used to access Keystone 


# Host address 
HOST_IP=192.168.0.50 #The Management Address 


# Keystone definitions 

KEYSTONE_ REGION=RegionOne 

ADMIN_ PASSWORD=admin Pass 

SERVICE PASSWORD=service pass 

export SERVICE TOKEN="ADMIN" 

export SERVICE ENDPOINT="http://192.168.0.50:35357/v2.0" 
SERVICE_TENANT_ NAME=service 


文件 创建 好 后 ， 使 用 source 命令 来 执行 keystone.auth 脚本 ， 然 后 使 用 set 命令 来 验证 这 
些 环境 变量 是 否 被 设置 。 代 码 清单 5-21 展示 了 如 何 执行 脚本 和 验证 变量 。 


代码 清单 5-21 设置 和 确认 keystone.auth 变量 
$ Source ~/keystone.auth 
$ set | grep SERVICE 
SERVICE. ENDBOLNT= tt /7192.168.0,.50: 35357/32.0 
SERVICE PASSWORD=service_ pass 
SERVICE_ TENANT_ NAME=service 
SERVICE_TOKEN=ADMIN 
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现在 可 以 做 个 快速 检查 以 查看 Keystone 功能 是 否 正常 。 执 行 命令 keystone qiscover 显 
示 已 知 的 Keystone 服务 器 和 API 版 本 ， 如 代码 清单 5-22 所 示 。 


代码 清单 5-22 ”检查 Keystone 操作 





$ keystone discover 
Keystone found at http://localhost:35357 
— supports version v3.0 (stable) here http://localhost:35357/v3/ 
No handlers could be found for logger "keystoneclient .generic.client" 
— supports version v2.0 (stable) here http://localhost:35357/v2.0/ 
— and s3tokens: OpenStack S3 API 
— and OS-EP-FILTER: OpenStack Keystone Endpoint Filter API 
— and OS-FEDERATION: OpenStack Federation APIS 
— and OS-KSADM: OpenStack Keystone Admin 
— and OS-SIMPLE-CERT: OpenStack Simple Certificate API 
— and OS-EC2: OpenStack EC2 API 


应 该 可 以 看 到 刚刚 安装 的 Keystone 服务 。 如 果 没 看 到 错误 , 就 可 以 开始 为 OpenStack 其 他 服 
务 准备 Keystone。 


5. 创建 Keystone 服务 和 端点 


必须 指定 Keystone 将 会 管理 授权 和 认证 的 服务 。 因 为 创建 Keystone 服务 和 端点 (endpoint ) 
的 过 程 对 所 有 OpenStack 组 件 一 样 ， 所 以 现在 就 为 这 些 后 面 章节 将 会 安装 的 组 件 创建 Keystone 
服务 和 端点 。 

在 OpenStack 里 ， 很 多 服务 可 以 分 布 在 多 个 节点 上 ， 但 不 是 所 有 OpenStack 部 署 都 会 运行 所 
有 OpenStack 服务 。 要 标识 在 具体 部 署 中 某 个 服务 是 可 用 的 ， 必 须 在 Keystone 里 注册 这 个 服务 ， 
标识 服务 的 类 型 和 在 部 署 的 环境 哪里 可 以 找到 它 。 

实际 上 ， 是 通过 创建 (注册 ) 一 个 新 的 服务 到 Keystone 来 标识 一 个 服务 。 这 个 服务 的 地 址 
通过 在 Keystone 里 为 这 个 新 服务 创建 一 个 喘 点 来 指定 。 Keystone 会 维护 所 有 激活 的 服务 和 它们 
的 问 点 的 列表 。 

首先 通过 代码 清单 5-23 所 示 的 命令 来 为 Keystone 本 刁 创 建 服 务 和 端点 。 














代码 清单 5-23 ”创建 Keystone 服务 


keystone service-create --name=Kkeystone \ 


-type=identity --description="Identity Service" 


执行 上 述 命 令 后 ， 可 以 得 到 这 样 的 输出 : 


下 于 守 宇和 + 
| Property | Value | 
和 二 和 + 
| description | Identity Service | 
| i | 541cffe246434a2e8d97653303df4ffq | 
| name | keystone | 
| type | identity | 
后 三 站 = 入 呈 二 区 计生 本 二 + 
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现在 已 经 在 Keystone 里 创建 了 服务 ， 并 且 分 配 了 一 个 服务 ID， 在 创建 问 点 时 会 用 到 。 

在 5.1.2 节 中 介绍 了 OpenStack 允许 为 组 件 通 信 指 定 多 个 网 络 类 型 。 在 注册 端点 时 ， 通 过 分 
配 一 个 URL (地址 ) 来 指定 一 个 网 络 。 这 些 端点 的 不 同 点 是 每 个 接口 骏 露 的 API 功能 不 同 。API 
功能 骏 露 基于 具体 服务 分 配 而 不 同 。 这 些 可 能 的 端点 分 配 : 
用 于 终端 用 户 通 信 ， 如 CLI 和 Dashboard 的 通信 ; 
internalurl 一 一 用 于 组 件 到 组 件 的 通信 ， 如 一 个 资源 服务 ( nova-compute ) 与 相应 的 


控制 锅 服 务 (nova-server ) 通信 ; 
用 于 使 用 admin 用 户 的 服务 的 通信 ， 如 使 用 admin 账号 引导 Keystone 初 








Publicurl 











国 adminurl 
台 配 置 。 
了 涂 了 指定 publicurl、internalurl 或 adminur1l， 在 创建 端点 时 还 必须 提供 区 域 。 区 
域 以 独一无二 的 API 端点 和 服务 作为 离散 的 OpenStack 环境 ， 但 它们 共享 单个 Keystone 实例 。 
图 5-3 展示 了 OpenStack 部 署 如 何 分 成 几 个 区 域 ， 并 共享 一 个 中 心 Keystone 实例 。 





Keystone 维 护 了 所 有 
可 用 服务 和 它们 的 位 
置 的 列表 . 和 






7 






区 域 : | 















novainternalurl xxxyabcd ! aa.a.b:abcd 
nova adminurl X.X.Xy:abcd !: aaab:abcd 
nova publicurl Z.Z.Z.y:abcd ! c.c.c.dabcd 
other Services d.d.d.b:abcd 


区 域 ] 区 域 2 
区 域 共享 同一 个 Keystone x = 全 ~ 和 人 ww 
实例 ， 但 各 自 有 独一无二 ’ = 1 1 Cr “ 
的 服务 和 端点 。 ‘ “a f \ _ -一 有 
AN 一 一 一 Fd \ a 一 一 
人 : / ’ 、 "1 = 一 
公共 网 络 ”“、 公共 网 络 
Horizon Cs 2 





5-3 ”区 域 和 端点 
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本 书 的 例子 都 基于 单个 区 域 的 部 署 。 例 子 中 都 分 配 Regionone 作为 所 有 region 配置 的 名 
称 。 publicurl 对 应 表 5-1 列举 的 控制 秦 的 公 网 地 址 。ijnternalurl 和 adminurl 对 应 表 5-1 
中 控制 问 的 内 部 地 址 。 

现在 需要 按 代码 清单 5-24 所 示 创 建 Keystone 端点 。 





代码 清单 5-24 创建 Keystone 端点 


keystone endpoint-create \ 


-region RegionOne \\ 

——Service=keystone \ 
——publicurl=http://10.33.2.50:5000/v2.0 \ 
——-internalurl=http://192.168.0.50:5000/v2.0 \\ 
——-adminurl=http://192.168.0.50:35357/v2.0 


执行 上 述 命令 后 ， 可 以 得 到 这 样 的 输出 : 


和 二 二 二 二 一 一 一 一 一 一 一 一 一 下 十 
| Property | Value | 
= | 十 
| admiitki | . tts:7A192.1658.0.504353257/%2.0 | 
| | | aq3ef29coe2d40efb20elleca2f2ff5d | 
| nernalurt | ttp:y/L192.168:0..50:5000/4220 | 
| "| ET | 
| region | Regionone 
| service iqd | 8c066ff224a34dlaa354abe73708b804 | 
下 三 一 一 三 一 一 一 一 三 一 一 一 一 EE 十 


现在 已 经 为 Keystone 服务 创建 了 一 个 端点 。 下 一 步 是 创建 一 个 租户 ， 用 来 作为 额外 配置 的 
容 带 。 


6. 创建 租户 


首先 要 创建 的 是 adqmin 和 service 租户 。admin 租户 是 admin 用 户 的 租户 。service 
租户 是 存储 服务 的 用 户 和 配置 信息 的 租户 。 在 安装 过 程 中 创建 新 服务 时 引用 service 租户 。 
按照 代码 清单 5-25 创建 adamin 租户 。 





代码 清单 5-25 ”创建 adamin 租户 





$ keystone tenant-create -~--name=admin ~-description "Admin Tenant" 
十 一 一 一 一 一 一 一 一 一 一 一 一 一 十 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 + 
| Property | Value | 
二 二 二 二 汪汪 三 主人 十 
| -asseripticn | Admin Tenant | 
| enabled | True | 
| Ee | | 55bgd141d9a29489d938bb492alb2884c | 
| name | admin | 
十 二 二 二 二 一 二 二 生生 EE + 


代码 清单 5-26 展示 了 如 何 创建 service 租户 。 
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代码 清单 5-26 ”创建 service 租户 





$ Keystone tenant-create -name=service \ 


——description="Service Tenant" 


二 ee + 
| Property | Value | 
十 一 一 一 一 一 一 一 一 一 一 一 一 一 十 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 + 
| description | Service Tenant | 
| enabled | True | 
| id | b3c5ebecb36d4bb2916fecd8aed3aala | 
| name | service | 
十 一 一 一 一 一 一 一 一 一 一 一 一 一 + 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 十 
现在 已 经 创建 了 admin 和 service 租户 ， 下 一 步 是 创建 用 户 。 
7. 创建 用 户 





创建 好 租户 后 ， 需 要 按 代码 清单 5-27 所 示 创 建 admin 用 户 。 


代码 清单 5-27 创建 admin 用 户 





$ keystone user-create --name=adqmin \ 
-pass=openstackl \ 


——email=admin@Qtestco.com 


十 一 一 一 一 一 一 一 一 一 一 一 十 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 + 
| Property | Value | 
十 一 一 一 一 一 一 一 一 一 一 一 十 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 + 
| email | admin@testco.com | 
| enabled | True | 
| id | 8f39cacece9b4a01b51lbqef57468a76e | 
| name | admin | 
| username | admin | 
十 一 一 一 一 一 一 一 一 一 一 一 十 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 + 


现在 已 经 创建 了 adqmin 用 户 ， 在 部 署 OpenStack 服务 过 程 中 ， 将 会 使 用 这 个 账号 作为 部 署 


的 管理 员 。 
8. 创建 角色 


Keystone 角色 被 分 配给 每 个 租户 的 各 个 用 户 ， 指 定 在 具体 租户 内 用 户 的 权限 。 用 户 创 建 后 ， 
需要 创建 这 些 用 户 的 角色 。 
代码 清单 5-28 展示 了 如 何 创 建 adamin 角色 。 


代码 清单 5-28 创建 admin 角色 





$ keystone role-create -name=admin 

十 一 一 一 一 一 一 一 一 一 一 十 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 + 
| Property | Value | 
十 一 一 一 一 一 一 一 一 一 一 十 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 + 


| id | d566b73857234f45ablb3cb90c560da3 | 
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还 需要 创建 一 个 Member 角色 来 分 配给 用 户 , 不 让 他 们 成 为 租户 的 管理 员 , 如 代码 清单 5-29 
所 示 。Member 角色 还 是 OpenStack Dashboard 使 用 的 默认 角色 ， 因 此 必须 配置 。 





$ keystone role-create --name=Member 

十 一 一 一 一 一 一 一 一 一 一 十 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 + 
| Property | Value | 
十 一 一 一 一 一 一 一 一 一 一 十 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 + 
| id | 45f75b4422774a25be07cbab055c50d8 | 
| name | Member | 
十 一 一 一 一 一 一 一 一 一 一 DT Er 十 


现在 已 经 创建 了 这 些 角色 , 但 它们 还 没 分 配给 任何 用 户 和 租户 。 下 一 步 是 给 具体 租户 内 的 用 
户 分 配角 色 。 


9. 分 配角 色 


现在 需要 分 配 admin 角色 给 aqmin 里 的 adqmin 用 户 。 可 以 按照 代码 清单 5-30 所 示 , 使 用 
Keystone 的 命令 user-role-add 并 加 上 用 户 、 角 色 和 租户 来 执行 。 如 果 命 令 执行 成 功 ， 则 没 
有 输出 。 





代码 清单 5-30 ”分 配 admin 角色 
keystone user-role-add -user=admin -role=admin --tenant=admin 
现在 已 经 分 配 Keystone 角色 admin 给 aqmin 租户 里 的 admin 用 户 了 。 不 用 担心 ， 大 多 数 
分 配 会 比 adamin>admin>admin 更 加 清晰 。 


OpenStack 管理 工具 的 发 展 在 之 前 的 OpenStack 发 行 版 本 ， 在 分 配角 色 时 必须 指定 很 长 的 ID， 
而 不 是 名 称 。 确 保 检查 每 个 OpenStack 发 行 版 的 命令 行 工具 ， 查 看 新 的 命令 和 命令 的 变化 。 
下 一 步 是 验证 分 配 的 角色 。 

10， 列 举 角 色 


要 验证 aqmin 用 户 是 否 已 经 在 admin 租户 内 分 配 了 适当 的 角色 ， 可 以 使 用 keystone 
user-role-1ist 命令 来 列举 某 个 用 户 的 所 有 角色 ， 如 代码 清单 5-31 所 示 。 








代码 清单 5-31 验证 admin 租户 里 的 admin 角色 


$ keystone user-role-list --user=aqmin --tenant=admin 


116 第 5 章 ” 探 制 器 部 署 


| 42639ba997424e7d8fbf24353bff2a08 | admin | 
A 和 十 


OpenStack 中 的 对 象 ID 很 长 ， 在 每 个 对 象 实例 创建 时 都 是 独一无二 的 ， 因 此 user_id 和 
tenant_id 信息 在 显示 输出 时 已 经 缩短 了 。 
祝 质 你 ! 现在 已 经 完成 Keystone 部 普 的 所 有 手动 步 又 ， 也 验证 了 操作 的 正确 性 。 





检查 Keystone 服务 日 志 在 继续 下 一 步 之 前 ， 检 查 Keystone 日 志文 件 (/varlog/keystone ) 查看 
任何 错误 或 其 他 明显 的 问题 (如 记录 了 失败 的 输出 )。 还 可 以 在 /var/log/upstart/ 下 查看 所 有 
OpenStack 服务 的 日 志 。 





如 果 在 第 2 革 中 使 用 DevStack 部 团 OpenStack 时 没 遇 到 问题 ， 在 安装 第 一 个 组 件 后 读者 可 
能 会 赞赏 DevStack。 如 果 在 使 用 DevStack 时 遇 到 问题 ， 本 书 这 部 分 的 手动 部 署 的 好 处 束 更 加 明 
了 


O 〇 





出 








下 一 节 将 会 安装 最 后 一 个 共享 服务 组 件 一 一 Glance。 之 后 就 开始 核心 组 件 的 安装 。 











5.2.2 部署 镜像 服务 ( Glance ) 

虚拟 机 镜像 是 之 前 配置 的 虚拟 机 实例 的 副本 。 这些 镜像 在 虚拟 机 创建 后 可 以 被 复制 和 应 用 到 
新 的 虚拟 机 。 这 个 过 程 免 去 了 在 部 署 虚 拟 机 时 用 户 必须 部 署 操作 系统 和 其 他 软件 的 膝 烦 。 

Glance 是 OpenStack 环境 里 用 来 发 现 、 部 署 和 管理 虚拟 机 镜像 的 OpenStack 模块 。 默 认 情 况 
下 ，Glance 会 利用 RabbitMQ 服务 ,以 允许 OpenStack 组 件 与 Glance 进行 远程 通信 而 不 用 通过 控 
制 傅 。 

在 下 文中 ， 将 会 在 Keystone 手动 配置 必需 的 Glance 服务 和 Glance 端点 。 还 要 创建 MySQL 
表 和 授予 MySQL 权限 ， 以 便 让 Glance 服务 可 以 使 用 它 作 为 中 心 数 据 存储 。 


1. 创建 Glance 数据 存储 


现在 需要 创建 Glance 数据 库 ， 用 来 保存 镜像 的 配置 和 状态 信息 。 然 后 ， 授 予 MySQL 的 
glance_qdbu 用 户 对 这 个 新 数据 库 的 访问 权限 。 

在 MySQL 中 , 用 户 创 建 和 权限 授予 可 以 在 同一 步骤 中 完成 。 首 先 ， 以 root 用 户 登 录 到 数据 
库 服 务 器 ， 如 5$.1.4 节 的 “访问 MySQL 控制 台 ” 小 市 所 述 。 然 后 ， 使 用 MySQL GRANT 命令 ， 
如 代码 清单 5-32 所 示 。 




















代码 清单 5-32 创建 数据 库 和 授 子 访问 权限 
CREATE DATABASE glance; 
GRANT ALL ON glance.* TO ‘'glance dbu'@'localhost' \ 
IDENTIEIED BY ‘openstackl'; 





现在 可 以 检查 授权 是 人 耕 已 经 成 功 : 
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mysql> SHOW GRANTS FOR ‘glance dbu'‘'@'localhost'"'; 


| GRANT USAGE ON *.* TO ‘'glance dbu'‘'@'localhost' <removed password> | 
| GRANT ALL PRIVILEGES ON ‘glance‘.* TO 'glance_ dbu'@'localhost'" | 


2 rows in set (0.00 sec) 


输入 quit 并 按 回 车 键 可 退出 MySQL shell。 

在 该 例 中 ，glance.* TO 'glance_dbu'@'localhost' 这 部 分 意味 着 MySQL 用 户 
glance 被 授予 从 localhost 访问 Glance 数据 库 下 的 所 有 对 象 的 权限 。 

本 地 系统 用 户 glance 将 会 在 后 面 的 “安装 Glance” 小 节 中 创建 ， 本 小 市 中 出 现 的 账号 是 
指 MySQL 内 部 账号 。Glance 服务 会 以 本 地 glance 账号 运行 , 而 MySQL glance_dbu 账号 将 
会 用 来 访问 在 MySQL 下 创建 的 Glance 数据 库 表 。 

在 接 下 来 的 部 分 ， 将 会 在 Keystone 中 配置 Glance 用 户 、 服 务 和 端点 。 这 样 可 以 允许 Glance 
组 件 被 部 署 所 识别 和 操作 。 








2. 配置 Glance 的 Keystone 用 户 


你 必须 为 Glance 创建 一 个 Keystone 服务 用 户 账 号 。 这 个 账号 将 会 被 Glance 服务 用 来 检验 令 


牌 以 及 认证 与 授权 其 他 用 户 请 求 。 要 让 Glance 对 系统 可 见 ， 必 须 在 Keystone 创建 一 个 服务 和 一 
个 端点 


oO 


如 代码 清单 5-33 所 示 在 Keystone 创建 glance 用 户 。 





代码 清单 5-33 ”创建 一 个 glance 用 户 


$ Keystone user-create --name=glance \ 





-pass="openstackil" \ 


-email=glance@testco.com 


于 三 三 三 三 三 三 三 三 三 三 于 肝 二 三 过 三 二 二 二 二 生生 生生 至近 二 二 生生 生生 二 生生 三 委 二 二 和 二 十 
| Property | Value | 
和 汪 二 ee 十 
| email | glanceldtestco.com | 
| enabled | True | 
| jd | 2ec6f7d7fbc64da090770be764d9c6a8 | 
| name | glance | 
| username | glance | 
二 Ts 十 


现在 可 以 分 配 admin 角色 给 glance 用 户 。 代 码 清 单 5-34 展示 了 如 何 用 Keystone 里 的 用 户 
名 glance、 租 户 名 service 和 角色 名 aqmin， 来 分 配 adqmin 角色 给 service 租户 里 的 
glance 用 户 。 
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代码 清单 5-34 ”分配 admin 角色 给 service 租户 中 的 glance 用 户 





keystone user-role-add --user=g9lance -role-id=admin --tenant=service 
如 果 上 述 命令 执行 成 功 ， 则 没有 输出 。 
接 下 来 ， 检 查 以 确保 用 户 成 功 创建 并 分 配 了 相应 的 角色 。 


keystone user-role-list -user=glance 一 -enant=SexrVICe 
i 十 一 一 一 一 一 一 一 十 
| id | name | 
二 富 二 人 十 一 一 一 一 一 一 一 十 
| 42639ba997424e7dq8fbf24353bff2a08 | admin | 
TT TE 十 一 一 一 一 一 一 一 十 


前 面 输出 的 user_ id 和 tenant_id 信息 已 经 缩减 。 
现在 可 以 准备 创建 服务 和 端点 。 


3， 创建 Glance 服务 和 端点 


现在 可 以 为 Glance 镜像 服务 创建 服务 和 端点 。 端 点 和 服务 信息 如 $.2.1 节 所 述 ， 由 Keystone 
维护 。 注 册 服 务 让 Glance 能 被 OpenStack 部 署 所 识别 ， 注 册 端 点 指定 服务 的 API 的 地 址 。 

在 服务 创建 过 程 中 ， 必 须 提 供 描述 服务 的 参数 。 例 如 ， 在 代码 清单 5-35 中 ， 注 意 参 数 
--type=image， 问 Keystone 指明 这 是 个 镜像 服务 。 名 称 和 描述 的 好 处 是 可 读 性 更 好 ; 类 型 用 
来 区 分 不 同 服务 。 











代码 清单 5-35 ”创建 Glance 服务 





$ keystone service-create -~--name=glance --type=image \ 


——description="Image Service" 


十 一 一 一 一 一 一 一 一 一 一 一 一 一 十 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 + 
| Property | Value | 
下 Ee + 
| description | Image Service | 
| enabled | True | 
| id | ff29dcdc693e4e55b3720a4da2771da8 | 
| name | glance | 
| type | image | 
丰富 和 守信 字 大 全 相生 宇和 + 


要 创建 端点 , 必须 提供 刚刚 生成 的 Glance 服务 名 称 、region、publicurl、internalurl 
和 aqminur1lI。 如 上 文 所 述 ， 本 书 假 设 只 在 单一 区 域 部 署 ， 因 此 为 所 有 region 设置 使 用 
Regionone 。publicurl 会 设置 成 表 5-1 列举 的 控制 右 相 应 的 公 网 地 址 。internalurl 和 
adminurl 对 应 表 5-1 中 控制 硕 的 OpenStack 内 部 地 址 。 执 行 的 命令 及 其 输出 如 代码 清单 5-36 
所 示 。 


代码 清单 5-36 ”创建 Glance 端点 





$ keystone endpoint-create \ 
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> --region RegionOne \ 

> -service=glance \ 

> --publicurl=http://10.33.2.50:9292 \ 

> --internalurl=http://192.168.0.50:9292 \ 
> -adminurl=http://192.168.0.50:9292 


pi es 十 
| Property | Value | 
再 二 二 二 二 二 二 二 二 二 二 天 下 二 三 二 二 三 二 三 二 二 生生 二 二 生生 二 二 二 三 生 二 考生 下 三振 全 二 二 十 
| adminurl | http://192.168.0.50:9292 | 
| id | aaeaaf52c3c94b2eaf3bc33bd1l6db0b3 | 
| internalurl | Itty/192.1680.50%9292 | 
| publicurl | http://10.33.2.50:9292 | 
| region | Regionone | 
| service id | ff29dcdc693e4e55b3720a4da2771da8 | 
秆 二 和 二 一 一 二 十 





现在 关于 Glance 的 Keystone 配置 已 经 完成 ， 可 以 进行 Glance 软件 包 的 安装 。 
4. 安装 Glance 


现在 可 以 在 控制 各 上 安 兴 Glance 软件 。 代 码 清单 5-37 展示 了 其 安装 过 程 。 








代码 清单 5-37 ”安装 Glance 软件 


$ sudo apt-get ~y install glance glance-api \ 


glance-registry python-glanceclient \ 
glance-common 
The following extra packages will be installed: 
libgmpl0 libyaml-0-2 python-amqplib python-anyjson 
python-boto python-crypto python-dateutil python-glance 
python-httplib2 python-json-patch python-Jjson-pointer 
Python-jsonschema Python-kombu python-oslo-config 
python-swiftclient python-warlock python-xattr python-~-yaml 


Adding System user ‘glance' (UID 109) 
Adding new user ‘glance' (UID 109) with group ‘glance' 


ldconfig deferred processing now taking place 


需要 修改 etc/glance/glance-api.conf 和 /etc/glance/glance-registry.conf 文件 来 设置 MySQL 信息 。 
代码 清单 5-38 展示 了 对 文件 /etc/glance/glance-api.conf 的 改动 。 


代码 清单 5-38 ”修改 /etc/glance/glance-api.conf 
EPAD En 一 一 一 一 个 配置 后 端 设置 


rpc_ backend = rabbit 





rabbit_host 192.168.0.50 


rabbit_ password = openstackl 


[database] = -和 配置 MySQL 信息 


#sqlite db = /var/lib/glance/glance.sqlite 


120 第 5 章 ”控制 器 部 署 


connection = mysql://glance dbu:openstackl@localhost/glance 
mysql_sql mode = TRADITIONAL 





可 以 看 到 , 在 文件 /etc/glance/glance-api.conf 中 需要 配置 MySQL 信息 个 和 rpc_backend 设 
置 @。 


Glance 在 哪里 存储 数据 ? 


Glance 可 以 配置 使 用 多 种 后 端 进行 数据 存储 ， 包 括 本 地 文件 系统 、Cinder 和 Swift ( OpenStack 
对 象 存储 )。 默认 情况 下 , 在 文件 /etc/glance/glance=-api.conf 里 的 下 列 参 数 设置 /var/lib/glance/images 
目录 作为 Glance 的 存储 . 


# Directory that the Filesystem backend store 
# writes image data to 
filesystem store datadir = /var/lib/glance/images/ 


现在 可 以 修改 glance-registry.conf 文件 。 这 里 只 需要 对 [database] 部 分 进行 修改 ， 如 代 
码 清单 5-39 所 示 。 





代码 清单 5-39 ”修改 /etc/glance/glance-registry.conf 
[aqatapbase |】 
#sqlite db = /var/lib/glance/glance.sqlite 


connection = mysql://glance dbu:openstackl@localhost/glance 
mysql_sql mode = TRADITIONAL 


为 了 更 新 配置 ， 必 须 重启 glance-api 和 glance-registry 服务 ， 如 代码 清单 5-40 所 示 。 


代码 清单 5-40 重启 glance-api 和 glance-registry 


$ sudo service glance-api restart 





glance-api stop/waiting 


glance-api start/running, process 5372 


$ sudo service glance-registry restart 
glance-registry stop/waiting 


glance-—-registry start/running, process 5417 


现在 已 经 配置 好 Glance 服务 需要 的 数据 库 和 账号 信息 ， 还 需要 通过 代码 清单 5-41 所 示 的 命 
令 初 始 化 Glance 数据 库 。 如 果 命 令 执行 成 功 ， 则 没有 输出 。 





代码 清单 5-41 初始 化 数据 存储 


sudo glance-manage db_sync 


Glance 模块 现在 已 经 初始 化 好 了 ， 可 以 用 来 管理 镜像 了 。 
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UTF8 错误 


如 果 在 执行 db_sync 过 程 中 出 现 CRITICAL glance [-] ValueError: Tables "migrate_ 
WESTPESTLOT nave mormutteo collationm please make sure al ltables are CHARSEI=UtLe 


这 样 的 错误 ， 进 行 下 面 的 操作 ， 转 换 数 据 表 的 编码 方式 ( CHARSET ) 为 Unicode ( utf8 ): 


$ mysql -user=root --password=openstackl glance 


mysql> alter table migrate version convert to \ 
enonale ese Leon el emu: 
Query OK, 1 row affected (0.25 sec) 


Records: 1 Duplicates: 0 Warnings: 0 


5. 镜像 管理 


为 了 测试 Glance， 可 以 下 载 一 个 预先 构建 的 镜像 并 注册 到 Glance 中 。 为 了 测试 目的 ， 我 们 
将 会 使 用 公开 的 可 用 的 Ubuntu 云 镜像 ， 它 是 专门 为 运行 在 类 似 OpenStack 这 样 的 云 环境 上 而 开 
发 的 O 

下 载 预 先 构 建 的 镜像 的 命令 如 代码 清单 5-42 所 示 。 读 者 可 以 使 用 任何 Glance 支持 的 镜像 类 
型 ， 但 记 住 KVM 半 虚 拟 化 驱动 可 能 需要 添加 到 任何 现成 的 镜像 中 。 














代码 清单 5-42 下 载 预先 构建 的 镜像 


wdet http://cdn.download.cirros-cloud.net/0.3.2/cirros-0.3.2-x86_64-disk.img 


Ubuntu 镜像 ”可 以 按照 代码 清单 5-43 的 介绍 添加 任何 镜像 ,如 一 个 Ubuntu 镜像 (http://uec-images. 


ubuntu. com/trusty/current/trusty-server-cloudimg-amd64-disk1. img )。 


一 旦 镜像 下 载 完 成 ,可 以 使 用 它 来 创建 Glance 镜像 ， 如 代码 清单 5-43 所 示 。 有 多 种 镜 
像 容 兹 和 磁盘 格式 ， 这 里 使 用 KVM 环境 里 常用 的 qcow2 格式 来 存储 镜像 。 镜 像 容 天 本 刁 
是 OVF， 在 命令 行 中 指定 。 人 磁盘 和 容 带 格式 可 以 基于 人 磁盘 镜像 而 不 相同 。 截 至 OpenStack 
的 Grizzly 版 本 ， 所 有 容 冀 都 被 当成 是 bare， 因 此 ， 如 果 不 确定 容 划 格 式 ，bare 是 一 个 安全 
路 

表 5-2 和 表 5-3 列举 了 OpenStack 网 站 上 支持 的 磁盘 和 容 侣 格式。 








表 5-2 磁盘 格式 


格 式 搓 ” 述 
raw 非 结 构 化 的 磁盘 镜像 格式 
人 VHD 磁盘 格式 ， 被 来 自 VMware、Xen、Microsoft、VirtualBox 等 虚拟 机 监视 器 使 用 的 常见 磁盘 
格式 


vmdk 被 很 多 常见 的 虚拟 机 监视 器 文 持 的 另 一 种 第 见 磁 盘 格 式 
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OVaQ 


Keystone 认证 
证 来 进行 认证 。 下 面 的 命令 也 
进行 认证 。 为 了 清晰 起 见 , 在 本 
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续 表 
扩 述 
VirtualBox 虚拟 机 监视 器 和 QEMU 模拟 器 支持 的 磁盘 格式 
光盘 (如 CD-ROM) 数据 内 容 的 归档 格式 
QEMU 模拟 器 支持 的 磁盘 格式 ， 可 以 动态 扩展 和 文 持 写 时 复制 
表明 存储 在 Glance 的 是 Amazon 内 核 镜 像 
表明 存储 在 Glance 的 是 Amazon 内 存 (ramdisk) 镜像 
表明 存储 在 Glance 的 是 Amazon 机 器 (machine) 镜像 











表 5-3 容器 格式 


wx 
再 # 
SE 


表明 没有 容器 或 元 数据 封装 在 镜像 里 

OVF 容器 格式 

表明 存储 在 Glance 的 是 Amazon 内 核 镜 像 

表明 存储 在 Glance 的 是 Amazon 内 存 (ramdisk) 镜像 
表明 存储 在 Glance 的 是 Amazon 机 器 (machine) 镜像 
表明 存储 在 Glance 的 是 OVA TAR 文件 














令 都 是 通过 在 Keystone 安装 过 程 中 设置 的 环境 变量 提供 的 服务 凭 
要 通过 命令 行 参 数 或 者 环境 变量 提供 Keystone 用 户 赁 证 来 对 用 户 
书 剩余 部 分 需要 用 户 凭证 的 地 方 , 我 们 将 会 使 用 命令 行 认证 方式 。 


前 面 执行 的 命 


隔世 
需 


代码 清单 5-43 展示 了 Glance 镜像 的 创建 。 
代码 清单 5-43 ”创建 一 个 Glance 镜像 





eps 


glance -os-username=admin --os-password openstackl \ 
-OSs-tenant-name=admin \ 
—-os-auth-url=http://10.33.2.50:5000/v2.0 \ 
image—-create \ 

—-—-name="Cirros 0.3.2" \ 

——-is-public=true \ 

—-—-disk-format=qcow2 \ 


——container-format=bare \ 


V V VvV VvV VvV VvV VvV YYV 


——file cirros-0.3.2-x86_64-disk.img 


十 
| 
| 
| 
| 
| 
| 
| 
| 
| 
| 
| 

十 
| 
| 
| 
| 
| 
| 
| 
| 
| 
| 
| 
| 
| 
| 
| 
| 
| 
| 
| 
| 
| 
| 
| 

十 


checksum | 64d7clcd2b6f60c92c14662941cb7913 | 
container format | bare | 
created at | 2014-09-05T14:04:09 | 
deleted | False | 
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| deleted at | None | 
| Bk. fF6rmat | qcow2 | 
| 广 @ | e02a73ef-ba28-453a-9fa3-fb63cla5bl5c | 
| a public |' Te | 
| min_gdisk les | 
| min_ram | 0 | 
| name | | 
| Owner | None | 
| protected | False | 
| -和 二 ZE | 13167616 | 
| status | active | 
| updated_ at | 2014-09-05T14:04:09 | 
| virtual_ size | None | 
和 一 ee + 


现在 可 以 通过 Glance 服务 上 传 、 注 册 和 让 一 个 镜像 变 成 可 用 状态 。 
现在 除了 列举 可 用 的 镜像 外 ， 没 有 一 个 好 的 方法 像 测试 Keystone 那样 测试 Glance， 因 为 现 
在 还 没 安 装 好 部 署 一 个 虚拟 机 需要 的 其 他 组 件 。 很 遗憾 ， 要 到 第 8 章 才 能 完全 测试 Glance。 


Glance 服务 检查 ”继续 学 习 之 前 ， 先 看 看 Glance 的 日 志文 件 (/var/log/glance ) 是 否 有 任何 错误 或 
明显 的 问题 (如 跟踪 失败 的 输出 )。 读 者 还 可 以 在 /var/log/upstart/ 下 找到 所 有 OpenStack 服务 的 日 志 
文件 。 在 启动 时 ，Glance API 可 能 会 提示 没 配 置 的 选项 (sheepdog、rdb、gridfs、swift 等 )， 这 是 正 
第 的 。 密 切 注 意 启动 后 出 现 的 重复 性 敖 告 和 错误 。 





祝 闹 你 ! 完成 了 共 且 服务 部 分 的 安装 。 现 在 可 以 继续 完成 OpenStack 部 署 的 控制 禹 的 配置 步 
又 。 在 接 下 来 的 小 节 中 , 将 会 开始 其 他 核心 服务 控制 带 问 (服务 带 病 ) 的 配置 。 以 存储 服务 开始 ， 
然后 是 网 络 ， 最 后 是 计算 ， 完 成 整个 控制 带 的 部 署 。 


XX 部 署 块 存储 ( :可 洲 口 ) 服务 


Cinder 是 在 OpenStack 环境 里 为 虚拟 机 镜像 提供 块 ( 卷 ) 存储 的 OpenStack 模块 。 它 管理 春 
提供 远程 可 用 存储 到 运行 在 计算 市 点 的 虚拟 机 的 过 程 。 这 个 关系 如 图 5-4 所 示 ， 虚拟 机 计算 和 虚 
拟 机 卷 由 两 个 单独 的 物理 资源 一 一 计算 硬件 和 Cinder 资源 节点 提供 。 这 种 分 离 可 能 看 起 来 有 点 
奇怪 ,但 暂时 只 能 这 样 ， 因 为 在 大 多 数 宁 例 中 ， 弹 性 的 好 处 大 于 复杂 上 度 和 性 能 上 的 不 足 。 

默认 情况 下 ，Cinder 会 利用 RabbitMQ 服务 ， 以 允许 其 他 客户 端 组 件 ， 如 Nova， 与 Cinder 
远程 通信 而 不 用 通过 控制 需 。 下 面 将 会 手动 创建 MySQL 数据 库 和 数据 表 ， 分 配 MySQL 权限 以 
便 数据 库 可 以 作为 Cinder 的 中 心 数 据 存储 。 


5.3.1 创建 Cinder 数据 存储 


要 创建 Cinder 数据 存储 ， 首 先 要 在 控制 器 以 root 用 户 登 录 MySQL 数据 库 实 例 (如 5.1.4 节 
的 “访问 MySQL 控制 台 ” 小 节 所 述 )。 下 一 步 是 创建 Cinder 数据 库 然后 授予 MySQL 用 户 
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cindqer_qpbu 访问 这 个 新 数据 库 的 权限 。 在 MySQL 里 ， 用 户 创建 和 权限 授予 可 以 在 同一 步骤 中 
完成 ,如 代码 清单 5-44 所 示 。MySQL GRANT 命令 cinder.* TO 'cinder_gdbu'@ 'localhost' 
授予 MySQL 用 户 cinder_dbu 从 本 地 主机 访问 Cinder 数据 库 下 所 有 对 象 的 权限 。 


Cinder 





Cinder 管 理 为 运行 在 
< 一。 计算 节点 上 的 虚拟 机 
远程 提供 可 用 存储 。 


Cinder 


Cinder 直 接 分 配 
4 一 一 块 存储 给 虚拟 机 





5-4 Cinder 提供 虚拟 机 卷 存储 





代码 清单 5-44 创建 Cinder 数据 库 和 授予 访问 权限 


CREATE DATABASE cinder; 
GRANT ALL ON cinder.* TO 'cinder dbu'@'s%s' \ 
IDENTIFIED BY '‘'openstackl'; 


需要 再 次 检查 数据 库 是 否 创建 以 及 用 户 cinder_dbu 是 否 拥有 合适 的 权限 ,可 以 通过 SHOW 
GRANTS 命令 来 检查 权限 : 


mysql> SHOW GRANTS FOR ‘cinder dbu'‘'@'%"'; 
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|GRANT USAGE ON *.* TO 'cinder dbu'@'%'<removed password> | 
| SRANT ALL PRIVILEGES ON ‘cinder‘.* TO 'cinder dbu'@'s%' | 


输入 quit 然后 按 回 车 键 可 退出 MySQL shell。 


5.3.2 ”配置 Cinder 的 Keystone 用 户 


你 必须 为 Cinder 创建 Keystone 服务 用 户 账 号 。 代 码 清单 5-45 创建 了 Cinder 服务 使 用 的 
cinder 用 户 。 记 下 对 和 象 创建 后 返回 的 Keystone 用 户 cindez 的 ID, 因为 在 下 一 节 中 要 用 到 它 。 








代码 清单 5-45 ”创建 cinder 用 户 


$ keystone User-create -~--name=cinder \ 


——pass="openstackil" \ 


——email=cinder@testco.conm 


下 二 一 二 二 二 一 全 一 一 一 和 十 
| Property | Value | 
于 二 二 二 二 二 二 二 二 二 烛 + 
| email | cinder@testco.com | 
| enabled | True | 
| | | 86f8b74446084fdfb44b66781cc72fa9 | 
| name | cinder | 
| username | cinder | 
下 二 三 三宝 二 二 本 二 大生 呈 RE + 


代码 清单 5-46 将 会 用 Keystone 用 户 名 cinder、Keystone 租户 名 service 和 Keystone 角 
色 名 admin 来 分 配 admin 角色 给 service 租户 中 的 cinder 用 户 。 如 果 这 条 命令 执行 成 功 ， 
则 没有 输出 。 





代码 清单 5-46 分配 admin 角色 给 service 租户 中 的 cinder 用 户 


keystone user-role-add --usSer=clindqer -role-id=admin --tenant=service 
现在 检查 以 确保 用 户 成 功 创建 并 分 配 了 相应 的 角色 : 

keystone user-role-list ~-user=cinder -tenant=service 
Ee 4 十 

id | name | 

ER et 十 三 三 三 三 三 三 三 十 

| ae2a897f8ale4762a7f0f8da59651llce | admin | 

十 二 一 一 一 一 一 一 一 一 一 一 一 一 一 二 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 十 二 一 三 一 一 一 一 十 


显示 的 输出 中 的 user_id 和 tenant_id 的 信息 已 经 被 缩减 。 
现在 可 以 准备 继续 创建 服务 和 端点 。 
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5.3.3 创建 Cinder 服务 和 端点 


现在 可 以 为 Cinder 服务 创建 服务 和 端点 。 在 代码 清单 5-47 中 ， 使 用 参数 --type=volume 
指定 这 个 服务 的 类 型 是 存储 卷 。 





代码 清单 5-47 创建 Cinder 服务 


$ keystone service-create --name=cinqer --type=volume \ 


——description="Block Storage" 


于 二 二 二 二 二 二 二 一 二 二 二 二 二 中 + 
| Property | Value | 
十 一 一 一 一 一 一 一 一 一 一 一 一 一 十 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 + 
| description | Block Storage | 
| enabled | True | 
| id | 939010f014bf406693e70bfc4862e8cd | 
| name | cinder | 
| type | volume | 
十 一 一 一 一 一 一 一 一 一 一 一 一 一 十 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 + 


要 创建 端点 , 必须 提供 刚刚 生成 的 Cinder 服务 名 称 、region、publicurl、 internalurl 
和 aqminur1。 本 书 描述 了 一 个 单一 区 域 部 署 ， 因 此 为 所 有 region 设置 使 用 Regionone。 
publicurl 会 设置 成 表 5-1 列举 的 相应 的 公 网 地 址 。ijnternalurl 和 adminurl 对 应 表 5-1 
中 控制 器 的 OpenStack 内 部 地 址 。 代 码 清单 5-48 展示 了 端点 的 创建 过 程 。 确 保 按 下 面 的 信息 准 
确 输 入 ， 包 括 百 分 号 和 反 和 斜 杠 。 








代码 清单 5-48 创建 Cinder 端点 


$ Keystone endpoint-create \ 


> --region RegionOne \ 

> --service=cinder \ 

> --publicurl=http://10.33.2.50:8776/vl/s$s\(tenant_id\)s \ 

> -internalurl=http://192.168.0.50:8776/vl/s\(tenant_ id\)s \ 
> -adminurl=http://192.168.0.50:8776/vl/s\(tenant_ id\)s 


十 二 三 二 三 二 三 三 二 一 一 一 一 一 上 二 二 十 
| Property | Value | 
十 二 二 二 一 一 一 二 一 一 一 一 一 十 一 一 一 一 一 一 二 二 一 一 一 一 二 一 一 二 一 一 二 一 一 二 于 一 一 二 一 一 一 一 一 一 一 一 一 一 一 和 一 一 一 一 一 十 
dmtigtt. | Et 2 6000 0007 T7617Senant iajs 
id | 2cf277bd14b94566b306ff303c2ab993 


| 
| 
internalurl | http://192.168.0.50:8776/vl/$ (tenant_id)s | 
| 
| 


publicurl | http://10.33.2.50:8776/v1l/s$ (tenant_ id)s 
region | RegionOone 
service iq | 939010f014bf406693e70bfc4862e8cd | 
十 一 一 一 一 一 一 一 一 一 一 一 一 一 十 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 + 





现在 关于 Cinder 的 Keystone 配置 已 经 完成 ， 可 以 进行 Cinder 软件 包 的 安装 
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5.3.4 安 疾 Cinder 
现在 可 以 在 欣 制 硕 装 Cinder 软件 ， 如 代码 清单 5-49 所 示 。 





代码 清单 5-49 ”安装 Cinder 


$ sudo apt-get -~y install cinder-api cinder-scheduler \ 


Processing triggers for ureadahead (0.100.0-16) 
Setting up python-concurrent.futures (2.1.6-3) 
Setting up python-networkx (1.8.1-0ubuntu3) 
Setting up python-taskflow (0.1.3-0ubuntu3) 


INFO migrate.versioning.api [-] 21 -> 22... 

INFO migrate.versioning.api [-] done 

Setting up cinder-api (1:2014.1.1-0ubpuntu2 ) 
cinder-api start/running, process 16558 

Setting up cinder-scheduler (1:2014.1.1-0ubuntu2) 


cinder-scheduler start/running, process 16601 


现在 必须 修改 Cinder 的 主要 配置 文件 (etc/cinder/cinder.conf ), 提供 队列 、 数 据 库 和 Keystone 
言 县 ， 如 代码 清单 5-50 所 示 。 





代码 清单 5-50 ”修改 /etc/cindercinderconf 


[DEFAULTI] 
rpc_ backend = rabbit 
rabbit_ host = 192.168.0.50 


rabbit password = openstackl 


[databasel] 
connection = mysql://cinder dbu:openstackl@localhost/cinder 


[keystone authtokenl] 

auth uri = http://192.168.0.50:35357 
admin tenant name = service 

admin password = openstackl 

auth protocol = http 


admin user = cinder 


为 了 让 配置 生效 ， 必 须 通 过 代码 清单 5-51 所 示 的 两 条 命令 重启 Cinder。 





代码 清单 5-51 重启 Cinder 


sudo service cinder-scheduler restart 


sudo service cinder-api restart 


现在 已 经 配置 好 Cinder 需要 的 队列 、 数 据 库 和 Keystone 信息 ， 接 下 来 需要 如 代码 清单 5-52 
所 示 初 始 化 Cinder 数据 库 。 
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代码 清单 5-52 初始 化 数据 存储 





$ sudo cinder-manage db sync 


INFO migrate.versioning.api [-] 0 -> 1... 
INFO migrate.versioning.api [-] done 

INFO migrate.versioning.api [-] 21 -> 22... 
INFO migrate.versioning.api [-] done 


视 贺 你 ! Cinder 模块 已 经 初始 化 ， 可 以 用 来 管理 块 存储 了 。 遗 憾 的 是 ， 要 到 第 8 章 完 成 该 服 
务 的 资源 配置 部 分 ,准备 使 用 手动 部 署 局 动 虚拟 机 ， 才 能 进行 完整 的 组 件 部 著 测 试 。 


Cinder 服务 检查 ”继续 学 习 之 前 ， 先 看 看 Cinder 的 日 志文 件 ( /var/log/cinder ) 是 否 有 任何 错误 
或 明显 的 问题 ( 如 跟踪 失败 的 输出 )。 读 者 还 可 以 在 /var/log/upstart/ 下 找到 所 有 OpenStack 服务 的 
Se 


好 了 ! 已 经 安 狐 了 基础 共 圣 服务 和 Cinder 服务 的 控制 侣 病 部 分 。 接 下 来 需要 继续 为 网 络 和 
计算 安 竣 控制 带 剖 组件。 


Xi 部 署 网 络 ( 好 YL) 服务 


OpenStack Neutron 是 云 网 络 服务 的 核心 。Neutron API 提供 了 在 OpenStack 里 管理 网 络 服务 
的 主要 接口 。 

图 5-5 展示 了 Neutron 管理 着 虚拟 机 上 的 虚拟 机 网 络 接口 ， 以 及 虚拟 机 网 络 连 接 到 的 网 络 的 
路 由 和 交换 。 人 简单 来 说 ， 束 是 Neutron 管理 所 有 必需 的 物理 和 虚拟 组 件 在 虚拟 机 与 公共 网 络 接口 
( OpenStack 网 络 之 外 的 网 关 ) 之 间 连 接 、 创 建 和 扩展 网 络 。 


5.4.1 创建 Neutron 数据 存储 

再 一 次 ， 需 要 以 root 用 户 母 份 登录 MySQL 控制 台 ( 如 5.1.4 节 的 “访问 MySQL 控制 台 ” 
小 节 所 述 ), 然后 , 创建 Neutron 数据 库 并 授予 MySQL 用 户 neutron_qdbu 访问 这 个 新 数据 库 的 
权限 。 

在 MySQL 里 , 用 户 创建 和 权限 授予 可 以 通过 同一 步骤 完成 , 如 代码 清单 5-53 所 示 。MySQL 
GRANT 命令 neutron.* TO 'neutron gdbu'@'localhost' 授 了 予 了 MySQL 有 用户 
neutron_qdbu 从 本 地 主机 访问 Neutron 数据 库 所 有 对 象 的 权限 。 类似 的 情况 , 命令 neutron.* 
TO 'neutron_dbu'@'$%' 意 味 着 用 户 neutron_dbu 被 授予 从 任何 主机 访问 的 权限 。 





代码 清单 5-53 ”创建 数据 库 和 授予 访问 权限 





CREATE DATABASE neutron; 
GRANT ALL ON neutron.* TO ‘neutron dbu'Qd'localhost"' IDENTIFIED BY ‘openstackl'; 
GRANT ALL ON neutron.* TO ‘neutron dbu'‘'@'%"' IDENTIFIED BY ‘openstackl'; 
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Neutron 管 理 所 有 必需 的 Neutron 
物理 和 虚拟 组 件 在 虚拟 机 
与 公共 网 络 接口 之 间 连 接 、 
创建 和 扩展 网 络 。 


公共 网 络 、 


Neutron 分 配 网 络 连 
接 资 源 给 虚拟 机 。 


5-5 ” Neutron 管理 OpenStack 网 络 





需要 再 次 检查 数据 库 是 否 创 建 和 用 户 neutron_qdbu 是 否 拥有 适当 的 权限 : 


mysql> SHOW GRANTS FOR ‘neutron dbu'@'%$'; 


和 十 
| Erants for neutron@s 
Ee + 
|GRANT USAGE ON *.* TO 'neutron dbu'@'%'<removed password> | 
|GRANT ALL PRIVILEGES ON ‘'neutron'.* TO ‘neutron dbu'@'s%' | 
Ds + 


2 rows in set (0.00 sec) 


5.4.2 ”配置 Neutron 的 Keystone 用 户 
现在 创建 Keystone 用 户 neutron, 如 代码 清单 5-54 所 示 。 记 下 对 象 创建 后 返回 的 Keystone 
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用 户 neutron 的 ID。 


代码 清单 5-54 创建 neutron 用 户 


$ keystone user-create -name=neutron \ 





--Pass="openstack1" \ 


——email=neutronl@testco.com 


于 二 二 二 = 二 一 一 一 一 二 Ee 十 
| Property | Value | 
十 一 一 一 一 一 一 一 一 一 一 十 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 + 
| email | neutron@testco.com | 
| enabled | True | 
| id | e817903594c843f7a79e1404a6f2a82c | 
| name | neutron | 
| username | neutron | 
十 一 一 一 一 一 一 一 一 一 一 十 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 + 


1. 分 配角 色 给 neutron 用 户 

利用 Keystone 用 户 名 neutron、Keystone 租户 名 service 和 Keystone 角色 名 admin 来 
分 配 admin 角色 给 service 租户 里 的 neutron 用 户 ， 如 代码 清单 5-55 所 示 。 如 果 这 条 命令 
执行 成 功 ， 则 没有 输出 。 


代码 清单 5-55 分 配 admin 角色 给 service 租户 中 的 neutron 用 户 


keystone user-role-add \ 





——uUSer=neutron \ 
——role=admin \ 


——tenant=service 


现在 检查 以 确保 用 户 成 功 创建 和 分 配 了 相应 的 角色 : 


keystone user-role-list ~--user=neutron -tenant=service 
十 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 十 一 一 一 一 一 一 一 十 
id | name | 
十 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 十 一 一 一 一 一 一 一 十 
| 42639ba997424e7d8fbf24353bff2a08 | admin | 
十 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 十 一 一 一 一 一 一 一 十 


显示 的 输出 中 的 用 户 ID 和 租户 ID 的 信息 已 经 被 缩减 。 
现在 可 以 准备 继续 创建 服务 和 端点 。 


2. 创建 Neutron 服务 和 端点 


下 一 步 是 为 Neutron 网 络 服务 创建 服务 和 端点 。 在 代码 清单 5-56 中 ， 使 用 参数 
--type=network 指定 这 个 服务 的 拓 型 吓 网 络 服务 。 





代码 清单 5-56 ”创建 Neutron 服务 


$ keystone service-create --name=neutron --type=network \ 
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——description="OpenStack Networking Service" 


于 | + 
| Property | Value | 
十 一 一 一 一 一 一 一 一 一 一 一 一 一 十 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 + 
| description | OpenStack Networking Service 

| enabled | True | 
| id | 7d92cd9f66c34cd882b88be2f486e123 | 
| name | neutron | 
| type | network | 
+ | + 


想 要 创建 端点 ， 必 须 提供 刚刚 生成 的 Neutron 服务 名 称 、region、publicurl、 
internalurl 和 adminurl。 如 前 面 提 到 ， 本 书 假设 只 在 单一 区 域 部 署 ， 因 此 所 有 region 的 
设置 都 使 用 Regionone。publicurl 会 设置 成 表 5-1 列举 的 相应 的 公 网 地 址 。internalurl 
和 adminurl 对 应 表 5-1 中 控制 兹 相应 的 OpenStack 内 部 地 址 。 代 码 清单 5-57 展示 了 端点 的 创 





代码 清单 5-57 创建 Neutron 端点 


$ keystone endpoint-create \ 


> -region RegionOne \ 

> --service=neutron \ 

> --publicurl=http://10.33.2.50:9696 \\ 

> -internalurl=http://192.168.0.50:9696 \ 
> --adminurl=http://192.168.0.50:9696 


于 三 二 二 二 二 二 Es 十 
| Property | Value | 
下 ee 十 
| adminurl | http://192.168.0.50:9696 | 
| id | 678fa049587a4f9b8b758c6158b67599 | 
| internalurl | http://192.168.0.50:9696 | 
| | http:/710.33.2:5059696 | 
| region | Regionone 
| service iqd | 7d92cd9f66c34cd882b88be2f486e123 | 
和 rs 十 





现在 关于 Neutron 的 Keystone 配置 已 经 完成 ， 可 以 进行 Neutron 软件 包 的 安装 。 


5.4.3 ”安装 Neutron 
本 市 将 为 操作 准备 Neutron 网 络 服务 。 首 先 ， 如 代码 清单 5-58 所 示 安 装 Neutron。 





代码 清单 5-58 安装 Neutron 


$ sudo apt-get install -y neutron-server 


Adding System user neutron' (UID 115) 


Adding new user ‘neutron' (UID 115) with group ‘neutron' 
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neutron-server start/running, process 8058 


Processing triggers for ureadahead ... 

下 一 步 是 配置 。 首 先 需 要 修改 /etc/neutron/neutron.conf 文件 。 需 要 依据 部 署 参 数 改 变 默 认 的 
admin 信息 、 日 志 宛 余 和 RabbitMQ 密码 。 不 用 删除 整个 /etc/neutron/neutron.conf 文件 。 只 需要 
把 一 些 坎 认 值 换 成 代码 清单 5-59 中 指定 的 值 即 可 。 








代码 清单 5-59 ”修改 /etc/neutron/neutron.conf 


[DEFAULT] Te 
core_ plugin = neutron.plugins .ml2.plugin.Ml2Plugin 


service plugins = router,firewall,lbaas,vpnaas,metering 配置 Neutron 使 用 ML2 插件 


allow_overlapping_ips = True 


nova_ url = http://192.168.0.50:8774/v2 


nova_admin username = admin 启用 服务 插件 。 作为 最 低 要 求 ， 本 
nova_admin password = openstackl 例 部 署 中 路 由 器 插件 是 必需 的 


nova _ admin tenant id = 55bdl41d9a29489d938bb492alpb2884c 
nova_admin auth url = http://10.33.2.50:35357/v2.0 


[keystone _ authtokenl] ”~ 


auth uri = http://10.33.2.50:5000 告诉 Neutron 如 何 与 Nova 通信 。 可 以 
SD 使 用 在 代码 清单 5-26 中 生成 的 服务 
admin tenant name = service tenant id 

admin user = neutron 

admin password = openstackl 

[databasel] 


connection = mysql://neutron dbu:openstacklQ@localhost/neutron 


现在 Neutron 核心 组 件 已 经 配置 好 ， 还 需要 配置 Neutron 的 ML2 (Modular Layer 2 ) 插件 。 
ML2 插件 整合 了 几 个 已 经 不 推荐 使 用 的 独立 插件 ， 是 OpenStack 部 四 中 用 来 管理 多 个 OSI L2 技 
术 第 用 的 标准 框架 。 在 第 6 草 的 例子 中 ,ML2 插件 允许 Neutron 在 计算 方 点 上 控制 Open vSwitch 
( 虚拟 交换 )。 下 面 的 配置 告诉 Neutron/ML2 如 何 管理 L2 (Layer 2 ) 连接 。 

本 步骤 会 在 /etcmneutron/plugins/ml2/ml2_conf'ini 文件 里 配置 ML2 插件 , 如 代码 清单 5-60 所 示 。 











代码 清单 5-60 ”修改 /etc/neutron/plugins/ml2/ml2_conf.ini 


[m12] 

type_drivers = gre 

tenant_ network types = gre 
mechanism drivers = openvswitch 


[m1l2_type_grel 
tunnel id ranges = 1:1000 


[securitygroup] 
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firewall driver = 
neutron.agent .linux.iptables_firewall.OVSHybridIiptablesFirewallDriver 


enable_security_group = True 


最 后 一 步 ， 以 新 的 配置 重启 Neutron， 如 代码 清单 5-61 所 示 。 


代码 清单 5-61 重启 Neutron 


$ sudo service neutron-server restart 





neutron-server stop/waiting 


neutron-server start/running, process 24590 


现在 检查 Neutron 日 志 以 确保 服务 已 局 动 并 正在 监听 请 求 。Neutron 主要 的 日 志 在 文件 /var/ 
log/Neutron/server.log 里 。 如 果 服 务 启动 成 功 , 在 这 个 文件 里 可 以 看 到 包含 “INFO [Neutron.service] 
Neutron service started, listening on 0.0.0.0:9696” 的 一 行 。 如 果 服 务 没 有 产生 日 志文 件 ， 还 可 以 
检查 /var/log/upstart/Neutron-server.log 文件 中 的 服务 的 upstart 日 志 , 其 中 提供 了 额外 的 调试 信息 。 

祝融 你 ! 现在 完成 了 OpenStack 网 络 在 控制 帮 并 的 配置 。 在 下 一 方 将 会 配置 控制 瘟病 的 最 后 
一 个 核心 组 件 一 一 OpenStack 计算 。 


XX 部 署 计算 ( 如) 澡 ) 服务 


可 以 把 OpenStack Nova 组 件 当成 云 框 染 控制 问 的 核心 。 尺 管 每 个 组 件 都 有 一 组 自己 的 API， 
Nova API 仍然 可 以 作为 管理 资源 池 的 主要 接口 。 图 5-6 展示 了 Nova 如 何 管理 本 地 计算 〈CPU 
和 MEM ) 资源 和 编排 二 级 资源 ( 网络 和 存储 ) 的 供给 。 

Nova 支持 各 种 各 样 的 hypervisor 以 及 裸 机 配置 。 如 图 5-6 所 示 ，Nova 和 它 自 己 的 资源 节点 
共同 工作 ， 连 同 Neutron 和 Cinder 一 起 汇集 资源 来 运行 虚拟 机 。 


5.5.1 创建 Nova 数据 存储 

本 万 将 会 创建 Nova 数据 库 并 授予 MySQL 用 户 nova_qbu 访问 这 个 新 数据 库 的 权限 。 再 
一 次 ， 需 要 以 root 用 户 刁 份 登录 MySQL 控制 台 (如 5.1.4 市 的 “访问 MySQL 控制 台 ” 小 
万 所 述 )。 

回想 一 下 ， 在 MySQL 里 ， 用 户 创 建 和 权限 授予 可 以 在 同一 步 又 完成 。MySQL GRANT 命令 
nova.* TO 'nova_dbu'@'localhost' 授 也 了 了 MySQL 用 户 nova_qdbu 在 本 地 主机 访问 Nova 
下 所 有 对 象 的 权限 。 另 外 ， 将 会 授予 MySQL 用 户 nova_qdbu 访问 任何 主机 的 权限 ， 因 为 这 对 于 
远程 Nova 节点 访问 中 心 数据 库 是 必需 的 。 代 码 清单 5-62 创建 数据 库 和 授予 必需 的 访问 权限 。 














代码 清单 5-62 ”创建 数据 库 和 授予 访问 权限 
CREATE DATABASE nova; 
GRANT ALL ON nova.* TO ‘nova dbu'‘'@'localhost"' IDENTIEFIED BY "openstack1 ' ; 
GRANT ALL ON nova.* TO ‘nova dbu'‘'@'%"' IDENTIEIED BY ‘openstackl'; 
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Neutron Nova 管 理 本 地 计算 


资源 并 编排 网 络 和 
-2 + 一 存储 的 供给 。 
网 络 


we te 
T Cd 


Neutron 


Nova 提 供 计 算 资源 。 


一 一 一 


Erpppspposses sss 

i tt 
Neutron 使 用 被 Nova a ' 四 | 和 nda 
到 行 的 hyperviso [ 提 bane one 供 存储 资源 oO 


供 网 络 资源 。 
5-6 Nova 管理 资源 


5.5.2 ”配置 Nova 的 Keystone 用 户 
接 下 来 需要 创建 Keystone 用 户 nova， 如 代码 清单 5-63 所 示 。 


代码 清单 5-63 创建 nova 用 户 


$ Keystone user-create --name=nova \ 





-pass="openstackil" \ 
——email=novaltestco.com 
十 一 一 一 一 一 一 一 一 一 一 十 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 + 


| Property | Value | 


| email | novaltestco.com | 


| enabled | True | 
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| id | 44fe95fbaf524c09ae633f405d9d66ca | 
| name | nova | 
| username | nova | 
二 ER 十 


5.5.3 ”分 配角 色 给 nova 用 户 

你 必须 分 配 admin 角色 给 nova 用 户 。 代 码 清单 5-64 展示 了 如 何 用 Keystone 用 户 名 nova、 
Keystone 租户 名 service 和 Keystone 角色 名 admin 来 分 配 admin 角色 给 service 租户 里 的 
nova 用 户 。 如 果 这 条 命令 执行 成 功 ， 则 没有 输出 。 


代码 清单 5-64 “分配 admin 角色 给 service 租户 中 的 nova 用 户 


keystone user-role-add -user=nova -role=admin -tenant=service 


现在 检查 以 确保 用 户 成 功 创建 和 分 配 了 相应 的 角色 ， 如 代码 清单 5-65 所 示 。 
代码 清单 5-65 ”检查 角色 分 配 








$ keystone user-role-list -~--user=nova -enant=SexrvVice 
十 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 十 一 一 一 一 一 一 一 十 
| id | name | 
下 十 一 一 一 一 一 一 一 十 
| 42639ba997424e7q8fbf24353bff2a08 | admin | 
EE 十 一 一 一 一 一 一 一 十 


上 面 显示 的 输出 的 user_iq 和 tenant_id 的 信息 已 经 被 缩减 。 
现在 可 以 开始 创建 服务 和 端点 。 


5.5.4 创建 Nova 服务 和 端点 


接 下 来 需要 为 Nova 服务 创建 服务 和 端点 。 在 代码 清单 5-66 中 , 使 用 参数 --type=compute 
指定 这 个 服务 的 类 型 是 计算 服务 。 





代码 清单 5-66 创建 Nova 服务 


$ keystone service-create --name=nova --type=compute \ 
> -description="OpenStack Compute Service" 
ee Ee 十 
| Property | Value | 
和 A 十 
| | OPenStack Compute Service | 
| enabled | True | 
| id | 122f7e4cbd4a48cc81018af2fd27f84c | 
| name | nova | 
| type | compute | 
末 生 二 二 三 二 过 二 二 拓 二 大王 大 平 二 二 二 二 二 三 二 三 二 后 到 过 有 二 二 二 三 三 二 二 二 二 二 和 二 考生 二 二 三 生 大 大 三 十 


想 要 创建 端点 ， 必 须 提 供 刚 刚 生 成 的 Nova 服务 名 称 、region 、pPublicur1l 、 
internalurl 和 adminurl。 如 前 面 所 述 ， 本 书 假设 只 在 单一 区 域 部 署 ， 因 此 会 使 用 
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Regionone 作为 所 有 region 的 设置 。publicurl 会 设置 成 表 5-1 列举 的 相应 的 公 网 地 址 。 
internalurl 和 adminurl 对 应 表 5-1 中 控制 兹 相应 的 OpenStack 内 部 地 址 。 代 码 清 单 5-67 
展示 了 端点 的 创建 过 程 。 


代码 清单 5-67 创建 Nova 端点 


$ keystone enqpoint-create --region RegionOne \ 





> —-service=nova \ 

> —-publicurl='http://10.33.2.50:8774/v2/$ (tenant_ id)s' \ 

> --internalurl='http://192.168.0.50:8774/v2/$ (tenant_id)s' \ 
> --adminurl='http://192.168.0.50:8774/v2/$ (tenant_id)s 


十 二 三 二 一 二 三 三 一 三 一 = 一 一 下 三 三 二 三 三 二 二 三 二 二 二 二 玉生 一 二 一 三 一 二 三 和 三 三 二 二 一 十 
| Property | Value | 
= 上 汪汪 十 
| adminurl | http://192.168.0.50:8774/v2/$ (tenant_id)s | 
| id | b9f064fdff014ada8c46814715082928 | 
| internalurl | http://192.168.0.50:8774/v2/$ (tenant_ id)s | 
I | 
| region | RegionOone | 
| service id | 122f7e4cbd4a48cc81018af2fd27f84c | 
三 芋 全 人 二 ES 十 


现在 可 以 进行 Nova 核心 组 件 的 安装 。 


5.5.5 ”安装 Nova 控制 家 
本 节 将 会 通过 安装 和 配置 必需 的 包 为 操作 准备 Nova 控制 硕 ， 如 代码 清单 5-68 所 示 。 





代码 清单 5-68 安装 Nova 控制 器 


sudo apt-get ~y install nova-api nova-cert nova-~conductor nova-consoleauth \ 


nova-novncproxy nova-scheduler python-novaclient 


Adding System user nova' (UID 114) 


Adding new user nova' (UID 114) with group nova' 


nova-api start/running, process 28367 
nova-cert start/running, process 28433 
nova—-conductor start/running, process 28490 
nova-consoleauth start/running, process 28558 
nova-novncproxy start/running, process 28664 


nova—-scheduler start/running, process 28710 


Processing triggers for libc-bin ... 
ldconfig deferred processing now taking place 


Processing triggers for ureadahead ... 


接 下 来 的 配置 是 整个 控制 器 安装 过 程 中 最 关键 的 。 因 为 Nova 把 一 些 核心 和 共享 服务 聚集 到 
一 起 ， 需 要 提供 关于 部 署 的 信息 给 Nova。 如 果 不 小 心 ，Nova 错误 的 配置 可 能 导致 组 件 在 整个 系 
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统 失败 ， 即 使 核心 组 件 可 以 正常 运行 。 
参考 OpenStack 其 他 核心 服务 ， 添 加 配置 到 /etc/nova/nova.conf 文件 。 添 加 代码 清单 5-69 所 
示 的 配置 到 现 有 的 文件 。 





修改 /etc/nova/nova.conf 


代码 清单 5-69 
[DEFEAULT 
rpc_backend = 
rabbit host 


rabbit 
192.168.0.50 


rabbit_ password = 


openstackl 


my_ip = 192.168.0.50 

vncserver listen = 0.0.0.0 

vncserver proxyclient address = 0.0.0.0 
auth strategy=keystone 

service neutron metadata proxy = true 


neutron metadata proxy_shared_ secret = openstackl 


network_ api_ class = 
http://192.168.0.50:9696 


nova.network.neutronv2.api.API 


neutron url = 


neutron auth strategy = keystone 
neutron admin tenant name = service 
neutron admin username = neutron 
neutron admin password = openstackl 


neutron admin auth url 


linuxnet interface driver 


http://192.168.0.50:35357/v2.0 


nova.network.l1linux net.LinuxOVSInterfaceDriver 
firewall driver = nova.virt.firewall.NoopFirewallDriver 
security_group_api = neutron 
[databasel] 
connection = mysql://nova dbu:openstackl@localhost/nova 
[keystone_ authtokenl] 


auth uri = http://192.168.0.50:35357 


admin tenant name = service 
admin password = openstackl 
auth protocol = http 


admin user = 


下 一 步 需要 在 数据 库 里 创建 Nova 的 数据 表 , 提 供 的 nova-manage 脚本 使 用 /etc/nova/nova.conf 
文件 进行 配置 。 按 照 代码 清单 5-70 所 示 执 行 Nova 脚本 。 


nNOVa 


代码 清单 5-70 ”执行 nova-manage 


$ sudo nova-manage db Sync 





[= 22215. 3 216%w: 


INFO migrate.versioning.api 
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INFO migrate.versioning.api [-] 232 -> 233... 


INFO migrate.versioning.api [-] done 


如 果 出 现 错误 ， 检查 前 面 步骤 修改 的 数据 库 设 置 。 
最 后 ， 必 须 重启 所 有 Nova 服务 ， 如 代码 清单 5-71 所 示 。 


代码 清单 5-71 重启 服务 


$ cd /usr/bin/; for i in $( ls nova-* ); \ 
do sudo service $i restart; done 

nova-api stop/waiting 

nova-api start/running, process 5467 

nova-cert stop/waiting 

nova-cert start/running, process 5479 

nova-conductor stop/waiting 

nova—-conductor start/running, process 5491 

nova-consoleauth stop/waiting 

nova-consoleauth start/running, process 5503 

nova-novncproxy stop/waiting 

nova-novncproxy start/running, process 5532 

nova-scheduler stop/waiting 


nova—-scheduler start/running, process 5547 


要 确认 所 有 服务 正常 运行 ,执行 nova-manage 命令 来 检查 每 个 服务 的 Status 和 State。Status 
应 该 是 enabled，State 应 该 显示 为 :-) ， 如 代码 清单 5-72 所 示 。 





代码 清单 5-72 ”列举 Nova 服务 


$ sudo nova-manage service list 





Binary Host Zone Status State Updated_ At 
nova—cert Controller internal enabled :一 ) 2014-08-- 
08 15:34:24 
novVa-conductoL controller internal enabled Se ) 2014-08-- 
08 15:34:24 
nova—scheduler controller internal enabled 二) 2014-08-- 
08 15:34:24 
nova-consoleauth controller internal enabled 2 2014-08-- 
08 15:34:24 


对 于 每 个 服务 ， 都 有 相关 的 日 志 ， 可 以 在 /vavlog/nova/ 下 找到 。 日 志 的 格式 是 “服务 员 .log” 
(例如, /varlog/nova-apilog 应 该 是 nova-api 的 日 志 )。 如 果 有 服务 没 启动 , 应 该 检查 相关 日 志 的 
错误 , 然后 检查 /etc/nova/nova.conf 配置 文件 (如 代码 清单 5-69 所 示 ), 如 果 服 务 没 生成 日 志文 件 ， 
可 以 额外 检查 /var/log/upstart/ 日 录 下 服务 的 upstart 日 志 ， 跟 前 面 的 日 志 命 名 方式 一 样 。 








xs 部署 .AGO ( OI 细 ) 服务 


控制 硕 安 装 的 最 后 一 步 是 部 署 基 于 Web 的 Dashboard。Horizon 模块 为 用 户 和 管理 员 提 供 了 
一 个 OpenStack 组 件 功能 相关 的 图 形 化 的 用 户 界面 ( GUI ), 这 可 能 是 最 终 用 户 安装 和 配置 资源 时 
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使 用 的 主要 接口 。 


5.6.1 安装 Horizon 

Horizon 的 安装 非常 简单 ， 只 要 其 余 的 组 件 配 置 适 当 ， 它 就 可 以 正常 工作 。 Horizon 使 用 
Apache 网 站 服务 和 Python 模块 。 在 安装 过 程 中 ,模块 将 会 被 添加 ，Apache 将 会 重启 ， 如 代码 清 
单 5-73 所 示 。 














代码 清单 5-73 ”安装 Horizon 


$sudo apt-get install -y openstack-dashboard memcached python-memcache 


Starting memcached: memcached. 

Processing triggers for ureadahead ... 

Processing triggers for ufw ... 

Setting up apache2-mpm-worker (2.2.22-6ubuntu5) ... 

* Starting web server apache2 [ OK |] 
Setting up apache2 (2.2.22-6ubuntu5) ... 

Setting up libapache2-mod-wsgi (3.4-0ubuntu3) ... 

* Restarting web server apache2 ... waiting . [ OK | 
Setting up openstack-dashboard (1:2013.1.1-0ubuntul) 

* Reloading web server config [ OK |] 
Setting up openstack-dashboard-ubuntu-theme (1:2013.1.1-0ubuntul) ... 

* Reloading web server config [ OK |] 
Processing triggers for libc-bin ... 


ldconfig deferred processing now taking place 


安装 过 程 会 添加 网 站 http://10.33.2.50/horizon。 如 果 不 能 访问 这 个 网 址 , 检查 /var/log/apache2/ 
error.log 里 的 Apache 错误 日 志 ， 找 到 启动 失败 的 问题 。 
当然 ， 你 可 以 移 除 Ubuntu 主题 ， 因 为 已 经 报告 会 造成 某 些 模块 出 现 问 题 : 


sudo apt-det ~y remove --pPurge openstack-dashboard-ubuntu-theme 





5.6.2 访问 Horizon 


OpenStack Dashboard 可 以 通过 http://10.33.2.50/horizon 进行 访问 。 现 在 可 以 以 用 户 admin 和 
密码 openstackl 登录 。 

现在 不 能 在 Dashboard 上 做 很 多 工作 ， 因 为 资源 节点 还 没 添加 , 但 可 以 尝试 登录 以 确保 组 件 
出 现在 Dashboard 中 一旦 登录 到 Horizon ,在 左 侧 工具 柱 里 选择 “Admin” 标 签 。 人 然后 , 单 击 “System 
Info” 并 查看 其 下 的 “Services” 标 签 ， 应 该 看 起 来 如 图 5-7 所 示 。 














5.6.3 调试 Horizon 


如 果 使 用 Horizon 时 遇 到 问题 ， 可 以 如 代码 清单 5-74 所 示 通 过 编辑 local_settings.py 文件 局 
用 Horizon 调试 。 
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System Info 
生生 Fw 已 有 
Services Filter Q | Fe 
Nams Service Host Enabled 
cinder VolUme 192.168&.0.50 Ermbled 
nce image 192.168.0.50 Enabled 
nova compute 192.168.0.50 Enabled 
nevutron netywork 192.188,0.50 Enabled 
keystones dentity (native backend) 192.168.0.50 Enabled 
Deplaying 5 ltema 


5-7” Dashboard 系统 信息 





代码 清单 5-74 ”启用 Horizon 调试 


Enable Debugging Dashboard 


**/usr/share/openstack-dashboard/openstack dashboard/local/local_ settings.py 


#DEBUG = False 
DEBUG = True 
$ sudo service apache2 restart 


* Restarting web server apache2 


大 大 





一 旦 Dashboard 处 于 调试 模式 ， 错 误 日 志 会 被 记录 到 Apache 日 志文 件 : /var/log/apache2/ 
error.log。 


如 琳 在 这 个 过 程 中 直到 问题 ， 尝 试 回顾 之 前 的 步 骆 ， 验 证 该 过 程 的 服务 和 日 志 。 


Xx 尖 小结 


加 每 一 个 OpenStack 服务 都 有 一 个 相关 的 后 端 数据 库 作 为 后 端 配置 和 状态 数据 存储 。 
加 OpenStack 服务 有 相关 的 Keystone 用 户 账号 。 这 些 账号 被 服务 用 来 验证 令 牌 、 认 证 和 授 





权 其 他 用 户 的 请 求 。 
图 ”OpenStack 服务 注册 到 Keystone 来 提供 服务 目录 。 服 务 端点 注册 到 Keystone 来 提供 服务 
的 API 地 址 信息 。 


国 介绍 了 如 何 手动 部 署 Keystone 、Glance、Cinder、Neutron 和 Nova 控制 冀 组 件 。 
国 介绍 了 如 何 手动 部 署 Horizon Dashboard 。 
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网 络 节点 部 署 准备 

部 署 OpenStack 网 络 核心 组 件 

设置 OpenStack 网 络 ML2 插件 

配置 OpenStack 网 络 DHCP、 元 数据 、L3 和 OVS 代理 








第 5 草 介 绍 了 OpenStack 控制 大 方 点 的 部 署 ， 探 制 如 方 点 提供 了 OpenStack 服务 的 服务 
佑 喘 管理 。 在 控制 紫 部 团 过 程 中 ， 对 多 个 OpenStack 核心 服务 ， 包 括 网 络 、 计 算 和 存储 进行 
了 控制 锅 端 的 配置 。 我 们 还 讨论 了 与 控制 希 相 关 的 每 个 核心 服务 的 配置 ， 但 没有 很 详细 介绍 
这 些 服务 。 

第 6 草 一 第 8 章 将 会 介绍 在 资源 节点 部 署 OpenStack 核心 服务 ,资源 节点 为 相关 的 OpenStack 
服务 提供 具体 资源 。 例 如 , 运行 OpenStack 计算 (Nova ) 服务 的 服务 需 将 被 认为 是 计算 资源 节点 。 
在 第 2 草 中 介绍 过 ， 可 以 在 某 个 节点 上 同时 提供 多 种 服务 ， 包 括 计算 (Nova)、 网 络 (Neutron ) 
和 块 存 储 〈Cinder )。 但 就 跟 在 第 5 草 中 专门 的 和 点 用 于 控制 锅 一 样 ， 在 第 6 草 ( 网 络 )、 第 7 章 
( 块 存储 ) 和 第 8 章 〈 计 算 ) 中 都 会 用 专门 的 资源 节点 来 演示 。 

再 来 看 看 在 第 5 草 中 介绍 的 多 节点 架构 ， 如 网 6-1 所 示 。 

本 章 将 会 在 一 个 独立 市 点 手动 部 署 位 于 图 6-1 左下 方 的 网 络 组件 。 

图 6-2 展示 了 进行 手动 部 署 的 当前 状态 。 本 章 首 先 要 准备 作为 网 络 设备 的 服务 硕 。 然 后 ， 安 
疫 和 配置 Neutron OSI 第 2 层 ( 交 换 ) 组 件 。 最 后 ， 安 浆 和 配置 位 于 OSI 第 3 层 (DHCP、 元 数 
据 等 ) 的 Neutron 服务 。 本 章 配 置 的 网 络 资源 将 会 被 OpenStack 提供 的 虚拟 机 直接 使 用 。 

对 很 多 人 来 说 , 本章 可 能 会 是 最 难 的 。 即 使 对 传统 网 络 有 很 好 的 学 习 背 景 ， 也 要 停 下 来 并 思 
考 一 下 OpenStack 网 络 是 如 何 工 作 的 。 窗 产 网 络 ( overlay network ), 或 者 在 其 他 网 络 之 上 的 网 络 ， 
在 很 多 方面 跟 虚拟 机 从 裸 机 服务 妖 上 抽象 出 来 相同 。 这 可 能 是 读者 第 一 次 接触 网 格 网 络 ( mesh 
network， 也 称 为 “多 跳 网 络 ”) / 窗 盖 网 络 / 分 布 式 网 络 ， 但 这 些 技术 并 不 是 OpenStack 特有 的 。 
读者 将 会 在 本 草 学 到 更 多 关于 禾 盖 网 络 的 内 容 ， 以 及 它们 在 OpenStack 中 的 使 用 , 但 花 时 间 理 解 
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这 些 根 本 性 的 改变 将 会 对 跨越 多 种 技术 的 学 习 非 第 有 帮助 。 


Kevstone (ilance 


ED ~ 一 


身份 认证 镜像 


eutron 





内 部 网 络 : 


公共 网 络 : 
192.168.0.0/24 


10.33.2.0/24 


网 络 节点 为 虚拟 机 
提供 网 络 资源 。 桥 
接 了 OpensStack 内 
部 和 外 部 网 络 


客 尸 网络 
6-1 多 市 后 染 构 


Xss 准备 网 络 节 点 部 署 环 境 
在 第 2 草 的 部 署 中 ，DevStack 安装 和 配置 了 Olona 依赖 。 在 本 昔 中 ,将 要 手动 安装 

















I 幸运 的 是 ， 可 以 使 用 安装 包 管 理 系统 来 安装 这 些 软件 : 不 需要 编译 , 但 仍然 需 
很 多 组 件 。 
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Keystone Glance Horizon 


一 > € 


身份 认证 镜像 Dashboard 


Neutron 


第 章 | -><e- 第 7 章 


Networking 





6-2 ”部署 线路 图 


小 心 进行 ”在 多 节点 环境 工作 增加 了 部 署 的 复杂 度 。 组件 或 依赖 配置 的 一 个 看 起 来 不 相关 的 很 小 
的 错误 ， 都 有 可 能 造成 非常 难以 排查 的 问题 。 仔 细 阅 读 每 节 ， 确 保 理 解 进 行 的 安装 或 配置 。 


本 章 的 多 个 例子 都 包含 确认 步骤 ,读者 不 应 该 跳 过 这 些 步 又 。 如 果 某 个 配置 确认 失败 ， 旋 者 
应 该 回 退 到 前 面 的 确认 点 重新 开始 。 这 种 做 法 可 以 大 大 降低 用 户 的 挫败 感 。 


6.1.1 准备 环境 


除了 网 络 配 置 外 ,环境 准备 跟 在 第 5 章 准 备 控 制 可 节点 部 署 类 似 。 在 配置 过 程 中 , 要 注意 网 
络 接 口 和 地 址 。 很 容易 手 识 ， 然 后 经 第 很 难 排查 出 这 些 问 题 。 


6.1.2 配置 网 络 接口 


配置 的 网 络 有 以 下 3 种 接口 : 

图 节点 接口 一 一 传输 与 OpenStack 不 直接 相关 ， 这 个 接口 用 于 管理 性 任务 ， 如 SSH 终 疹 访 
问 、 软 件 更 新 和 市 点 级 别 的 监控 ; 

图 ”内 部 接口 一 一 与 OpenStack 组 件 间 通信 相关 的 传输 ， 包 括 API 和 AMQP 类 型 的 传输 ; 








144 第 6 章 网 络 世 点 部 署 


图 虚拟 机 接口 一 一 与 OpenStack 虚拟 机 间 和 虚拟 机 到 外 部 的 通信 相关 的 传输 。 
首先 需要 清楚 系统 现 有 的 接口 。 


1 回顾 网 络 
代码 清单 6-1 所 示 的 命令 用 来 列举 服务 需 上 的 所 有 接口 。 





代码 清单 6-1 列举 接口 


$ ifconfig -a 





eml Link encap:Ethernet HWaddr b8:2a:72:d5:21:c3 
inet addr:10.33.2.51 Bcast:10.33.2.255 Mask:255.255.255.0 
inet6 addr: fe80::ba2a:72ff:fed5:21c3/64 Scope:Link 
UP BROADCAST RUNNING MULTICAST MIU:1500 Metric:1 
RX packets:9580 errors:0 dropped:0 overruns:0 frame:0 
TX packets:1357 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen:1000 
RX bytes:8716454 (8.7 MB) TX bytes:183958 (183.9 KB) 
Interrupt:35 


em2 Link encap:Ethernet HWaddr b8:2a:72:d5:21:c4 
inet6 addr: fe80::ba2a:72ff:fed5:21c4/64 Scope:Link 
UP BROADCAST RUNNING MULTICAST MIU:1500 Metric:1 
RX packets:7732 errors:0 dropped:0 overruns:0 frame:0 
TX packets:8 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen:1000 
RX bytes:494848 (494.8 KB) TX bytes:680 (680.0 B) 
Interrupt:38 


P2P1 Link encap:Ethernet HWaddr a0:36:9f:44:e2:70 
BROADCAST MULTICAST MTU:1500 Metric:1 
RX packets:0 errors:0 dropped:0 overruns:0 frame:0 
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen:1000 
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B) 


你 可 能 在 初始 化 安装 时 配置 过 接口 em1 。 你 将 会 使 用 eml 接口 来 与 这 个 节点 通信 。 观 察 一 
下 另外 两 个 接口 em2 和 P2P1。 在 本 书 的 示例 系统 中 ， 接 口 em2 将 被 用 于 OpenStack 内 部 传输 ， 
附加 的 10 GB 适 配 带 p2p1 将 被 用 于 虚拟 机 通信 。 

下 面 将 会 回顾 为 示例 节点 进行 的 网 络 配置 ， 然 后 配置 控制 右 接 口 。 


2. 配置 网 络 


在 Ubuntu 系统 里 ,接口 配置 是 通过 文件 /etc/network/interfaces 来 维护 的 。 我 们 将 会 基于 表 6-1 
中 斜体 表示 的 地 址 来 进行 配置 。 
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表 6-1 网 络 地址 表 


节 点 功 能 IP 地 址 

控制 器 公共 接口 /节点 地 址 eml 10.33.2.50/24 
控制 器 em2 192.168.0.50/24 
/ 彤 乡 eml 10.33.2.51/24 
网 络 em2 192.168.0.51/24 
存储 eml 10.33.2.52/24 
存储 em2 192.168.0.52/24 
计算 eml 10.33.2.53/24 
计算 em2 192.168.0.53/24 


为 了 修改 网 络 配置 或 其 他 特权 配置 ， 必 须 使 用 sudo 特权 ( sudo vi /etc/network/ 
interfaces )。 这 个 过 程 可 以 使 用 任何 文本 编辑 器 。 
如 代码 清单 6-2 所 示 修 改 接口 文件 。 





代码 清单 6-2 ”修改 接口 配置 /etc/network/interfaces 


# The loopback network interface 


auto lo 


iface lo inet loopback 


# The OpenStack Node Interface 
auto eml OC 
iface eml inet static nl 是 用 于 节点 管理 的 公共 接口 
address 10.33.2.51 
netmask 255.255.255.0 
network 10.33.2.0 
broadcast 10.33.2.255 
gateway 10.33.2.1 











dns—-nameservers 8.8.8.8 


dns—search testco.com 


# The OpenStack Internal Interface 








auto em2 ”cc 主要 用 于 资源 节点 和 控制 兹 之 
iface em2 inet static 间 的 AMQP 和 API 传输 
address 192.168.0.51 
netmask 255.255.255.0 
# The VM network interface ey 人 
CE p2pl 用 于 资源 节点 和 外 


auto p2p1 


一 自 部 网 络 的 虚拟 机 传输 


iface P2P1 inet manual 


在 网 络 配置 接口 中 ，eml 将 用 于 节点 管理 ， 如 到 实际 服务 器 的 SSH 会 话 佑 。OpenStack 不 会 
直接 使 用 eml 接口 。em2 接口 主要 用 于 资源 节点 和 控制 硕 之 间 的 AMQP 和 API 传输 加。pP2P1 
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接口 将 由 Neutron 管理 ， 这 个 接口 主要 用 于 资源 和 点 与 外 部 网 络 间 传 输 虚 拟 机 流量 个 . 
现在 应 该 刷新 网 络 接口 使 更 改 的 配置 生效。 如果 没有 改变 主 接口 的 设置 , 在 刷新 后 就 不 会 出 
现 连 接 中 断 。 如 果 改 变 了 主 接口 的 地 址 ， 应 该 现在 就 重 局 服务 需 。 
可 以 为 特定 的 接口 刷新 网 络 配 置 ， 如 代码 清单 6-3 所 示 刷 新 了 em2 和 P2P1 接口 配置 。 














代码 清单 6-3 ”刷新 网 络 配置 


sudo ifdown em2 && sudo ifup em2 


sudo ifdown P2P1 && sudo ifup p2p1 

从 操作 系统 的 角度 来 看 ， 这些 网 络 配 置 现在 应 该 生效 了 。 接口 会 基于 配置 自动 上 线 。 这 个 过 
程 可 以 对 每 个 需要 刷新 配置 的 接口 重复 进行 。 为 了 确保 配置 生效 ,可 以 再 次 检查 接口 ， 如 代码 清 
单 6-4 所 示 。 





代码 清单 6-4 ”检查 网 络 的 更 新 
$ ifconfig -a 
eml Link encap:Ethernet HWaddr b8:2a:72:d5:21:c3 
inet addr:10.33.2.51 Bcast:10.33.2.255 Mask:255.255.255.0 
inet6 addr: fe80::ba2a:72ff:fed5:21c3/64 Scope:Link 
UP BROADCAST RUNNING MULTICAST MIU:1500 Metric:1 





RX packets:10159 errors:0 dropped:0 overruns:0 frame:0 
TX packets:1672 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen:1000 
RX bytes:8803690 (8.8 MB) TX bytes:247972 (247.9 KB) 
Interrupt:35 

em2 Link encap:Ethernet HWaddr b8:2a:72:d5:21:c4 
inet addr:192.168.0.51 Bcast:192.168.0.255 Mask:255.255.255.0 
inet6 addr: fe80::ba2a:72ff:fed5:21c4/64 Scope:Link 
UP BROADCAST RUNNING MULTICAST MIU:1500 Metric:1 
RX packets:7913 errors:0 dropped:0 overruns:0 frame:0 
TX packets:8 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen:1000 
RX bytes:506432 (506.4 KB) TX bytes:680 (680.0 B) 
Interrupt:38 


PpP2p1 Link encap:Ethernet HWaddr a0:36:9f:44:e2:70 
inet6 addr: fe80::a236:9fff:fe44:e270/64 Scope:Link 
UP BROADCAST RUNNING MULTICAST MIU:1500 Metric:1 
RX packets:0 errors:0 dropped:0 overruns:0 frame:0 
TX packets:8 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen:1000 
RX bytes:0 (0.0 B) TX pbytes:648 (648.0 B) 


现在 应 该 可 以 远程 访问 网 络 服务 从 ,而 且 这 个 服务 表 应 该 可 以 访问 互联 网 。 后 面 的 安 猴 可 以 
直接 在 控制 台 或 者 使 用 SSH 远程 执行 。 
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6.1.3 更 新 安装 包 

APT 包 索 引 是 定义 在 /etc/apt/sources.list 所 有 可 用 包 的 数据 库 。 要 确保 本 地 的 数据 库 与 指定 的 
Linux 发 行 厂 最 新 可 用 的 安装 包 库 同 步 。 在 安 猴 前， 需要 先 升 级 所 有 库 项 目 ， 包 括 Linux 内 核 ， 
为 内 核 也 可 能 不 是 最 新 的 。 更 新 和 升级 包 如 代码 清单 6-5 所 示 。 

















代码 清单 6-5 ”更 新 和 升级 包 


sudo apt-get ~y update 


sudo apt-get ~y upgrade 


现在 需要 重启 服务 希 刷 新 任何 可 能 改变 的 包 或 配置 ， 如 代码 清单 6-6 所 示 。 





代码 清单 6-6 ”重启 服务 器 


sudo reboot 


对 于 Ubuntu Server 14.04( Trusty Tahr )， 下 面 这 些 OpenStack 组 件 是 官方 支持 的 ， 包 含 在 基 























本 发 行 版 中 : 
图 ” Nova 一 一 OpenStack 计算 的 项 目 名 ， 作 为 IaaS 云 构 造 控制 天 ; 
图 Glance 一 一 为 虚拟 机 镜像 、 发 现 、 获 取 和 注册 提供 服务 ; 
图 ”Swift 一 一 提供 高 扩展 性 、 分 布 式 对 象 存储 服务 ; 
国 ” Horizon 一 一 OpenStack Dashboard 项 目 名 ,提供 基于 Web 的 管理 员 / 用 户 GUI ( 图 形 用 户 
界面 ); 
图 Keystone 一 一 为 OpenStack 套件 提供 号 份 认证 、 令 有 牧 、 目 录 和 策略 服务 ; 
国 ” Neutron 为 OpenStack 组 件 提供 网 络 管理 服务 ; 
国 Cinder 为 OpenStack 计算 提供 块 存储 服务 。 





6.1.4 软件 和 配置 依赖 
本 节 将 会 安装 一 些 软 件 依赖 和 做 一 些 配 置 上 的 改变 ， 为 后 续 的 安装 做 好 准备 。 


1， 安装 Linux 网 桥 和 VLAN 工具 


需要 安装 包 bridge-utils， 它 在 系统 ( 操作 系统 ) 级 别提 供 了 与 网 桥 工作 的 一 组 应 用 程序 。 系 
统 级 别 的 网 桥 ( bridge ) 是 OpenStack 网 络 操作 的 关键 。 现 在 可 以 暂时 把 Linux 下 的 网 桥 简 单 看 
成 是 在 同一 网 络 段 ( 相同 隔离 的 VLAN ) 中 放置 多 个 接口 。Linux 网 桥 的 默认 操作 像 一 个 交换 机 ， 
因此 当然 可 以 这 样 认 为 。 

另外 ， 还 必须 安装 vlan 软件 包 ， 它 提供 网 络 子 系统 与 IEEE 802.1Q 定义 的 VLAN 工作 的 能 
力 。VLAN 允许 在 虚拟 接口 使 用 VLAN ID 分 离 网 络 流量 。 这 样 束 允许 被 操作 系统 管理 的 一 个 单 
一 的 物理 接口 使 用 虚拟 接口 去 隔离 多 个 网 络 。VLAN 配置 不 会 在 例子 中 使 用 , 但 读者 应 该 了 解 这 
种 技术 。 
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Neutron 使 用 VLAN 安 闭 vlan 包 的 指令 包含 在 代码 清单 6-7 中 ,因为 绝 大 多 数 的 部 署 会 使 用 IEEE 
802.1Q VLAN 来 为 Neutron 节点 提供 多 个 网 络 。 但 为 了 清晰 起 见 ， 本 书 的 例子 不 会 使 用 VLAN 
接口 。 一 旦 理解 了 OpenStack 网 络 ， 那 在 操作 系统 级 别 采 用 VLAN 就 是 小 菜 一 碟 了 。 


总 结 一 下 ，VLAN 隔离 网 络 传输 和 接口 ， 而 Linux 网 桥 聚合 网 络 传 输 和 接口 。 


代码 清单 6-7 ”安装 vlan 和 bridge-utils 





$ sudo apt-get ~y install vlan bridge-utils 


Setting up bridge-utils (1.5-6ubuntu2) ... 
Setting up vilan (1.9-3ubuntul0) ... 


现在 可 以 创建 VLAN 和 Linux 网 桥 了 。 
2. 服务 器 到 路 由 器 的 配置 


OpenStack 为 提供 的 虚拟 机 管理 资源 。 其 中 一 种 资源 就 是 网 络 ， 被 虚拟 机 用 来 与 其 他 虚拟 机 
或 物理 机 器 通信 。 对 于 OpenStack 网 络 提供 网 络 服务 来 说 ， 必 须 至 少 存 在 一 个 资源 节点 执行 网 络 
设备 的 功能 〈 路 由 、 交 换 等 )。 这 个 节点 可 以 作为 网 络 传输 的 路 由 天 和 交换 机 。 

默认 Linux 内 核 是 不 允许 接口 间 流 量 路 由 的 。sysct1l 命令 就 是 用 来 修改 内 核 参数 ， 如 那些 
跟 基 本 网 络 功 能 相关 的 。 需 要 使 用 这 个 工具 对 内 核 设置 做 几 人 处 更 改 。 

第 一 处 修改 涉及 通过 Linux 内 核 在 网 络 接口 间 流 量 的 转发 或 路 由 (〈 内核 IP 转发) 可 以 将 到 
达 一 个 接口 的 流量 转发 或 路 由 到 另外 一 个 接口 , 如 果 内 核 确 定 目标 网 络 可 以 在 内 核 管 理 的 另外 一 
个 接口 找到 。 图 6-3 展示 了 有 两 个 接口 的 服务 硕 。 

















192,168.0.1/24 服务 器 192,168.1.1/24 服务 器 





6-3 Linux 1P 路 由 


默认 情况 下 ,图 6-3 中 展示 的 传人 的 数据 包 将 会 被 接口 INT_0 丢弃, 因为 这 个 接口 的 地 址 不 
是 数据 包 的 目标 地 址 。 但 现在 想 要 服务 侣 检查 数据 包 的 目标 地 址 ， 查看 服务 上 冀 的 路 由 表 ， 如 来 可 
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以 找到 路 由 信息 ， 就 转发 数据 包 到 相应 的 接口 。 从 代码 清单 6-8 中 可 以 看 出 ，sysct1l 设置 
net .ipv4.ip_forward 告诉 内 核 转 发 流量 。 

除了 人 允许 内 核 的 卫 转发 ， 还 需要 做 为 外 一 些 不 常见 的 内 核 配 置 更 改 。 在 网 络 领域 有些 技 
术 称 为 非 对 称 路 由 ,流量 传人 和 传 出 的 路 径 / 路 由 不 相同 。 这 样 做 有 它 合 理 的 原因 ( 如 地 面 上 传 
和 卫星 下 载 ， 可 以 查看 http://www.google.com/patents/US6038594 )， 但 往往 是 这 个 能 力 被 分 布 式 
服务 拒绝 (DDOS ) 攻击 利用 了 。RFC 3704 一 一 “多 归 路 网 络 和 人 口 过 滤 ”， 也 就 是 反 向 路 径 过 滤 ， 
引入 来 限制 这 种 DDOS 攻击 造成 的 影响 。 默 认 如 果 Linux 内 核 不 能 确定 数据 包 的 源 路 由 , 这 个 包 
就 会 补 和 天价。OpenStack 网 络 是 一 个 复杂 的 平台 ， 包 含 多 层 的 网 络 资源 ， 而 这 些 网 络 资源 本 对 又 
不 是 网 络 的 全 貌 。 我 们 必须 配置 内 核 禁 用 反 癌 路径 过 滤 ， 让 OpenStack 来 管理 路 径 。 

在 代码 清单 6-8 中 ，sysct1 设置 的 net.ipv4.conf.all.rp_filter 用 来 设置 对 现 有 
的 所 有 接口 不 启动 反问 路 从 过 滤 。sysctl1 设置 的 net.ipv4.conf.default.rp_filter 用 
来 设置 对 将 来 所 有 接口 禁用 反 向 路 径 过 滤 。 

在 OpenStack 网 络 市 点 应 用 如 代码 清单 6-8 所 示 的 这 些 设置 。 











代码 清单 6-8 ”修改 /etc/sysctl.conf 


net .ipv4.ip_ forward=1 


net .ipv4.conf.all.rp_filter=0 
net .ipv4.conf.default.rp_filter=0 


可 以 通过 执行 sysct1 -P 命令 来 让 sysct1l 内 核 更 改 生 效 而 不 用 重启 服务 器 ， 如 代码 清 
单 6-9 所 示 。 


代码 清单 6-9 执行 sysctl 命令 
$ sudo sysct1 -p 





net.ipv4.conf.default.rp_filter = 0 
net.ipv4.conf.all.rp_filter = 0 


net .ipv4.ip_forward = 1 


接口 现在 可 以 转发 IPv4 流量 ， 反 向 路 径 过 滤 被 禁用 了 。 
下 一 节 将 会 使 用 Open vSwitch 包 来 为 用 户 增加 高 级 网 络 功能 。 





6.1.5 ”安装 Open vSwitch 

OpenStack 利用 了 开源 分 布 式 虚拟 交换 软件 包 一 一 Open vSwitch ( OVS ), OVS 提供 了 跟 物 理 
交换 机 (端口 A 到 端口 B 的 L2 流量 会 交换 到 端口 B ) 相同 的 数据 交换 功能 ,但 它 运 行 在 服务 器 
的 软件 里 。 





交换 机 做 什么 


要 理解 交换 机 做 什么 ， 必 须 先 看 看 以 太 网 集线器 ( 读者 可 能 在 有 线 或 无 线 设备 上 以 某 种 形式 使 用 
以 太 网 )。 读 者 可 能 会 问 :“ 什 么 是 集线器 ? ” 
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大 约 在 20 世纪 90 年 代 , 有 几 种 相互 竞争 的 OSI 第 1 层 ( 物理 层 ) 以 太 网 拓扑 。 其 中 一 种 是 IEEE 
10Base2， 工 作 方式 ( 和 看 起 来 ) 跟 家 里 使 用 的 有 线 电 视 相似 ， 可 以 拿 一 根 同 轴 电 绕 通过 插入 到 T 连 
接 器 ( 想 想 分 离 器 ) 来 添加 网 络 连 接 。 另 一 种 常用 的 拓扑 是 10BaseT ( RJ45 连接 器 双 绞 线 对 )， 是 我 
们 今天 常 说 的 “以 太 网 ”的 “祖先 "。10BaseT 的 好 处 是 可 以 扩展 网 络 而 不 用 中 断 网 络 服务 ;不 足 是 
这 种 物理 拓扑 需要 一 台 设备 来 终止 电缆 的 分 段 。 这 种 设备 叫 作 集线器 , 它 工作 在 OSI 第 1 层 ( 物理 层 )。 
如 果 数 据 从 设备 的 端口 A 传输 出 来 ， 它 就 会 被 物理 地 传送 到 集线器 的 所 有 其 他 端口 。 

关于 传输 所 有 数据 到 所 有 端口 ， 除 了 明显 的 安全 考虑 外 ， 集 线 器 的 运行 不 能 是 大 规模 的 。 想 象 一 
下 上 干 合 设备 连接 到 上 百合 互 连 的 交换 机 。 所 有 流量 泛 闫 到 所 有 端口 。 为 了 解决 这 个 问题 ， 网 络 交换 
机 被 开发 出 来 。 网 卡 ( NIC ) 制造 商 为 每 张 网 卡 分 配 了 独一无二 的 以 太 网 硬件 地 址 ( EHA )。 交 换 机 在 
每 个 端口 上 保持 跟踪 EHA 地 址 ， 该 地 址 通常 叫 作 媒 体 访问 控制 ( MAC ) 地 址 。 如 果 目 的 MAC=xyz 
的 数据 包 传送 到 端口 A， 并 且 交 换 机 在 端口 B 有 xyz 的 记录 ， 那 么 这 个 数据 包 就 会 传送 ( 交换 ) 到 端 
口 B。 交 换 机 工作 在 OSI 第 2 层 ( 数据 链 路 层 )， 数 据 交换 基于 目的 MAC。 

本 书 的 例子 ， 从 网 络 交 换 的 角度 来 看 ， 只 会 使 用 OVS 交换 平台 。 

现在 读者 有 了 一 台 表 现 得 像 基 本 网 络 路 由 带 ( 通过 IP 内 核 转 发 ) 和 基本 交换 机 ( 通过 Linux 
网 桥 ) 的 服务 融 。 现 在 通过 安 汉 OVS 给 你 的 服务 僚 添 加 高 级 交换 功能 。OVS 可 以 成 为 一 整 本 书 
的 主题 ,但 可 以 肯定 的 是 ， 独 立 网 络 厂商 提供 的 OVS 竞争 对 手 的 产品 提供 了 交换 功能 。 


OV5 不 是 严格 的 OpenStack 网 络 依赖 


毫 无 疑问 ，OpenStack 网 络 最 常用 的 是 OVS。 但 并 不 是 说 它 是 这 个 框架 必需 的 。 下 面 的 图 片 ， 在 
第 4 章 介 绍 过 ， 展 示 了 OVS 在 OpenStack 网 络 架 构 的 位 置 。 
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只 要 有 厂商 特定 的 Neutron 插件 或 模块 支持 ， 融 可 以 使 用 基本 的 Linux 网 桥 ( 前 面 介 绍 的 虚拟 交 


换 ) 或 甚至 使 用 物理 交换 机 替代 OVS。 
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通过 代码 清单 6-10 所 示 的 OVS 安 朔 指令， 可 以 把 服务 天 变 成 高 级 交换 机 。 


代码 清单 6-10 安装 OVS 


$ sudo apt-get ~y install openvswitch-switch 





Setting up openvswitch-common ... 
Setting up openvswitch-switch ... 


openvswitch-switch start/running 


安装 Open vSwitch 的 过 程 会 安装 一 个 新 的 OVS 内 核 模块 。 另外 ,OVS 内 核 模 块 会 引用 和 加 
载 额 外 必需 的 内 核 模块 ( GRE、VXLAN 等 ) 来 构建 网 络 履 盖 功 能 。 





什么 是 网 络 履 六 (overlay) 


现在 暂时 忘记 关于 传统 网 络 的 知识 。 忘 记 在 相同 交换 机 的 服务 器 在 同一 个 “网 络 ” 的 概念 。 想 象 
一 下 ， 可 以 把 任何 虚拟 机 加 入 任何 网 络 ， 无 论 它 们 的 物理 位 置 或 者 底层 这 就 是 网 络 覆 盖 的 
价值 定位 。 

现在 可 以 把 覆盖 网 络 看 成 是 一 个 所 有 人 参与 端点 的 完全 网 状 的 VPN ( 无 论 位 置 怎样 ， 所 有 服务 器 都 
在 相同 的 L2 网 络 段 上 )。 想 要 创建 这 样 的 网 络 ， 就 必须 在 各 个 端点 间 使 用 隧道 技术 。GRE、VXLAN 
和 其 他 协议 提供 了 覆盖 网 络 使 用 的 隧道 传输 。 如 往常 一 样 ， OpenStack 只 管理 这 些 组 件 。 网 络 履 盖 
仅仅 是 一 种 “覆盖 ”在 其 他 网 络 之 上 ， 扩 展 多 个 主机 间 L2 网 络 的 方法 。 


了 解 内 核 Ubuntu 14.04 LTS 是 第 一 个 搭载 OVS 覆盖 网 络 技术 (GRE、VXLAN 等 ) 内 核 支持 的 
Ubuntu 版 本 。 在 之 前 的 版 本 ,必须 采用 额外 的 步骤 来 构建 合适 的 内 核 模块 。 如果 读 者 正在 使 用 其 
他 版 本 的 Ubuntu 或 者 其 他 Linux 发 行 版 ， 要 绝对 确保 OVS 内 核 模块 按 代码 清单 6-11 所 示 加 载 。 


想 要 绝对 确定 Open vSwitch 内 核 模 块 被 加 载 , 可 以 使 用 代码 清单 6-11 所 示 的 1smod 命令 来 
确认 OVS 内 核 模块 的 存在 。 





代码 清单 6-11 验证 OVS 内 核 模块 


$ sudo lsmod | grep openvswitch 


Module Size Used by 
openvswitch 66901 0 

gre 13796 1 openvswitch 
vxlan 37619 1 openvswitch 
libcrc32c 12644 1 openvswitch 


lsmod 命令 的 输出 现在 应 该 显示 儿 个 与 OVS 相关 的 内 置 模块 。 

国 openvswitch 这 就 是 OVS 模块 本 里， 提供 了 内 核 和 OVS 服务 之 间 的 接口 。 

指定 为 被 openvswitch 模块 “使 用 ”"， 它 在 内 核 级 别提 供 了 GRE 功能。 

跟 GRE 模块 类 似 ，vxlan 在 内 核 级 别提 供 了 VXLAN 功能 。 

为 循环 元 余 校 验 ( Cyclic Redundancy Check，CRC ) 算法 提供 内 核 级 别 的 支 








gre 





国 
国 vxlan 
国 libcrc32c 
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持 , 包括 使 用 Intel 的 CRC32C CPU 指令 集 进行 硬件 转移 ( Hardware offloading )。 硬 件 转 
移 对 网 络 流散 列 的 高 性 能 计算 以 及 网 络 头 部 和 数据 帧 常见 的 其 他 CRC 功能 很 重要 。 
有 了 GRE 和 VXLAN 在 内 核 级 别 的 支持 ， 意 味 着 用 来 创建 覆盖 网 络 的 传输 可 以 被 系统 内 核 
和 相关 Linux 网 络 子 系统 识别 。 








没有 内 核 模 块 的 支持 ? 用 DKMS 来 拯救 ! 


动态 内 核 模块 支持 ( Dynamic Kernel Module Support，DKMS ) 的 开发 让 它 可 以 在 主线 内 核 之 外 
更 轻松 地 提供 内 核 级 别 的 驱动 。DKMS 一 直 被 OVS 使 用 来 对 没有 直接 包含 在 Linux 内 核 中 的 诸如 履 
蔓 网 络 设备 ( 如 GRE、VXLAN ) 提供 内 核 驱 动 。Ubuntu 14.04 搭载 的 内 核 包 含 对 构建 在 内 核 的 重 鞋 
设备 的 支持 ， 但 取 次 于 你 使 用 的 发 行 版 和 具体 版 本 号 ， 可 能 有 的 内 核 疫 有 包含 这 些 网 络 履 盖 撤 术 必 需 
的 支持 。 
下 面 的 命令 会 部 署 相 应 的 依赖 和 使 用 DKMS 框架 来 构建 OVS 的 datapath 模块 : 
sudo apt-get -~y install openvswitch-datapath-dkms 
只 有 不 能 通过 代码 清单 6-11 验证 的 模块 才 需 要 执行 这 条 命令 。 
如 采 认 为 内 核 模块 已 经 加 载 ， 但 还 没 看 到 ， 就 重 司 系统 再 看 看 它 是 否 在 重 局 后 加 载 。 万 外 ， 
可 以 使 用 命令 modprobe openvswitch 来 加 载 内 核 模块 。 如 打出 现任 何 跟 加 载 OVS 内 核 模块 


相关 的 错误 ， 就 去 检查 内 核 日 志 /varvlog/kernlog。 如 果 OVS 没有 相应 的 常 驻 的 内 核 模 块 ， 那 么 
所 有 期 望 的 功能 都 不 能 实现 。 








6.1.6 配置 Open vSwitch 

现在 需要 添加 一 个 内 部 的 br-int 网 桥 和 一 个 外 部 的 br-ex OVS 网 桥 ， 分别 如 代码 清 
单 6-12 和 代码 清单 6-13 所 示 。 

br-int 网 桥接 口 将 会 用 于 Neutron 管理 的 网 络 的 内 部 通信 。, 在 OpenStack 内 部 Neutron 创 
建 的 网 络 上 的 虚拟 机 将 会 使 用 这 个 网 桥 来 通信 。 这 些 接口 不 应 该 跟 操作 系统 级 别 的 内 部 网 络 接 
口 混 消 。 





代码 清单 6-12 ”配置 内 部 OVS 网 桥 





sudo ovs-vsctl1 add-pbr br-int 


现在 已 经 创建 了 br-int, 下面 开 始 创建 外 部 网 桥接 口 pr-ex。 这 个 外 部 网 桥接 口 可 以 用 来 
桥接 OVS 管理 的 内 部 Neurton 网 络 和 外 部 的 物理 网 络 。 





代码 清单 6-13 配置 外 部 OVS 网 桥 





sudo ovs-vsctl1 add-br Jp 一 exX 


现在 需要 确认 这 些 网 桥 都 被 成 功 添 加 到 OVS， 以 及 可 以 被 底层 的 网 络 子 系统 感知 。 可 以 通 
过 代码 清单 6-14 和 代码 清单 6-15 所 示 的 命令 来 确认 。 
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代码 清单 6-14 验证 OVS 配置 





$ sudo ovs-vsctl1 Show 
8cffl6ee-40a7-40fa-b4aa-fd6f1f864560 
Bridge br-int 
Port br-int 
Interface br-int 
type: internal 
Bridge br-ex 
Port br-ex 
Interface br-ex 
type: internal 


OVS_ Vversion: "2.0.2" 


代码 清单 6-15 ”验证 OVS 操作 系统 整合 





$ ifconfig -a 
br-ex Link encap:Ethernet HWaddr d6:0c:1d:a8:56:4f = 一 一 和 br-ex 网 桥 
BROADCAST MULTICAST MTU:1500 Metric:1 
RX packets:0 errors:0 dropped:0 overruns:0 frame:0 
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen:0 
RX bytes:0 (0.0 B) TX pbytes:0 (0.0 B) 


br-int Link encap:Ethernet HWaddr e2:d9:pb2:e2:00:4f = 一 和 br-int 网 桥 
BROADCAST MULTICAST MTU:1500 Metric:1 
RX packets:0 errors:0 dropped:0 overruns:0 frame:0 
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen:0 
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B) 


eml Link encap:Ethernet HWaddr pb8:2a:72:d5:21:c3 
inet addr:10.33.2.51 Bcast:10.33.2.255 Mask:255.255.255.0 
inet6 addr: fe80::ba2a:72ff:fed5:21c3/64 Scope:Link 
UP BROADCAST RUNNING MULTICAST MIU:1500 Metric:1 
RX packets:13483 errors:0 dropped:0 overruns:0 frame:0 
TX packets:2763 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen:1000 
RX bytes:12625608 (12.6 MB) TX bytes:424893 (424.8 KB) 
Interrupt:35 


ovs-system Link encap:Ethernet HWaddr 96:90:8d:92:19:ab 
BROADCAST MULTICAST MTU:1500 Metric:1 a 接口 
RX packets:0 errors:0 dropped:0 overruns:0 frame:0 
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 


collisions:0 txqueuelen:0 
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B) 


注意 接口 列表 添加 的 br-ex 因 和 br-int 人 @ 网 桥 。 新 的 网 桥 将 会 被 OVS 和 Neutron OVS 模 
块 用 来 桥接 内 部 和 外 部 传输 。 另 外 ，ovs-systenm 接口 全 也 被 添加 。 这 个 是 OVS 的 datapath 接 
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口 ， 但 不 用 担心 要 使 用 这 个 接口 ; 它 只 是 一 个 简单 的 Linux 内 核 整合 的 伪 接 口 。 尽 管 如 此 ， 这 个 
接口 的 出 现 表 明了 OVS 内 核 模 块 是 正常 运行 的 。 

现在 有 一 个 可 操作 的 OVS 部 署 和 两 个 网 桥 。brint ( 内 部 ) 网 桥 将 会 被 Neutron 用 来 连接 虚 
拟 接口 到 网 桥 。 这 些 tap 接口 将 会 作为 GRE 隧道 的 端点 。GRE 隧道 是 用 来 在 IP 协议 之 上 的 端点 
之 间 创 建 点 到 点 的 网 络 连接 (类 似 VPN )，Neutron 会 使 用 OVS 配置 计算 和 网 络 节点 间 的 GRE 
隧道 。 这 些 隧道 在 所 有 可 能 的 资源 位 置 和 拓扑 中 的 网 络 管道 之 则 提供 网 状 的 虚拟 网 络 。 这 个 网 状 
网 络 为 在 同一 个 虚拟 网 络 的 虚拟 机 提供 了 跟 单 个 独立 OSI L2 网 络 同等 的 功能 。 这 个 内 部 网 桥 不 
需要 关联 到 物理 接口 或 者 设置 操作 系统 级 别 的 “UP” 状 态 去 工作 。 

br-ex (外 部 ) 网 桥 将 会 用 来 连接 OVS 网 桥 和 Neutron 衍生 的 虚拟 接口 到 物理 网 络 。 你 必 
须 关 联 外 部 网 桥 和 虚拟 机 接口 ， 如 代码 清单 6-16 所 示 。 








代码 清单 6-16 添加 p2p1 接口 “虚拟 机 ) 到 br-ex 网 桥 


sudo ovs-vsctl1 add-port br-ex p2pl1 


sudo ovs-vsctl1 br-set-external-id br-ex bridge-id br-ex 


现在 检查 P2P1 接口 是 否 话 加 到 网 桥 br-ex， 如 代码 清单 6-17 所 示 。 


代码 清单 6-17 验证 OVS 配置 
$ sudo ovs-vsctl1 Show 
8cffl6ee-40a7-40fa-b4aa-fd6f1f864560 
Bridge br-int 
Port br-int 





Interface br-int 


type: internal 


Bridge br-ex = -和 0 br-ex 网 桥 


Port br-ex 
Interface br-ex 
type: internal 
Port "“"p2p1" 


Interface "p2p1" 志 一 一 一 一 和 ) p2p1 接口 


OVS_ version: "2.0.1" 


注意 ，p2p1 接口 @ 作 为 一 个 亲口 显示 在 网 桥 br-ex@ 上 。 这 意味 者 p2p1 接口 已 经 虚拟 地 
连接 到 OVS br-ex 网 桥 的 接口 。 

当前 br-ex 和 br-int 网 桥 没 有 连接 。Neutron 将 会 在 内 部 和 外 部 网 桥 配 置 端 口 , 包括 它们 
的 tap 接口 。Neutron 将 会 从 这 里 开始 完成 所 有 的 OVS 配置 。 


X*? 安装 好 k 和 YI 


本 方 将 会 为 操作 准备 Neutron ML2 插件 、L3 代理 、DHCP 代理 和 元 数据 代理 。ML2 插件 需 
要 安装 在 每 个 Neutron 与 OVS 交互 的 物理 节点 上 。 
将 会 在 所 有 计算 和 网 络 节 点 安装 ML2 插件 和 代理 。ML2 插件 将 会 用 来 创建 L2 ( 数据 链 路 
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层 、 以 太 网 层 等 ) 配置 和 OpenStack 管理 的 网 络 端 点 间 的 隧道 。 可 以 把 这 些 隧道 想象 成 虚拟 网 
线 ， 把 分 开 的 交换 机 或 虚拟 机 连接 到 一 起 。 
L3、 元 数据 和 DHCP 代理 只 安装 在 网 络 节 点 。L3 代理 会 提供 建立 在 L2 网 络 上 的 IP 传输 的 
L3 路 由 。 同 样 ， 元 数据 和 DHCP 代理 在 L2 网 络 上 提供 L3 服务 。 
这 些 代 理 和 插件 提供 以 下 服务 。 
图 M1L2 插件 一 一 ML2 插件 是 Neutron 和 OSI L2 服务 间 的 链 路 。 这 个 插件 管理 本 地 端口 和 
tap， 它 通过 GRE 隧道 创建 远程 连接 。 这 个 插件 会 被 安 闭 在 网 络 和 计算 市 点 上 。 这 个 插 
件 将 会 被 配置 来 与 OVS 一 起 工作 。 
图 L3 代理 一 一 这 个 代理 提供 了 L3 路 由 服务 ， 部 署 在 网 络 节 点 。 
加 ”DHCP 代理 一 一 这 个 代理 使 用 DNSmasg 为 Neutron 管理 的 网 络 提供 DHCP 服务 ,通常 这 
个 代理 会 安装 在 网 络 世 点 。 
图 元 数据 代理 一 一 这 个 代理 为 启动 虚拟 机 提供 cloud-init 之 类 的 服务 ,通常 安装 在 网 络 节点 。 








6.2.1 安装 Neutron 组 件 
现在 可 以 如 代码 清单 6-18 所 示 安 装 Neutron 软件 。 


代码 清单 6-18 安装 Neutron 组 件 


$ sudo apt-get -~y install neutron-plugin-ml2 \ 





neutron-plugin-openvswitch-agent neutron-l3-agent \ 


neutron-dhcp-agent 


Adding System user ‘neutron' (UID 109) ... 


Adding new user ‘neutron' (UID 109) with group neutron' ... 


Setting up neutron-dhcp-agent ... 
neutron-dhcp-agent start/running, process 14910 
Setting up neutron-l3-agent ... 
neutron-l3-agent start/running, process 14955 
Setting up neutron-plugin-ml2 ... 

Setting up neutron-plugin-openvswitch-agent ... 


neutron-plugin-openvswitch-agent start/running, process 14994 


现在 Neutron 插件 和 代理 已 经 安装 好 了 ， 可 以 继续 进行 Neutron 的 配置 操作 。 


6.2.2 ”配置 Neutron 


下 一 步 是 配置 。 前 和 完 ， 必须 修改 文件 /etc/neutron/neutron.conf 来 定义 服务 的 认证 、 管 理 通信 、 
核心 网 络 插件 和 服务 策略 。 男 外 ， 还 要 提供 配置 和 凭证 来 允许 Neutron 客户 端 实例 与 第 5 章 部 署 
的 Neutron 控制 硕 通 信 。 基 于 代码 清单 6-19 所 示 的 内 容 修 改 neutron.conf 文件 。 如 果 文 件 里 有 不 
存在 的 值 ， 就 添加 它 。 
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代码 清单 6-19 ”修改 /etc/neutron/neutron.conf 





[DEFAULT] 
Verbose = True 


auth_ strategy = keystone 


rpc_ backend = neutron.openstack.common.rpc.impl_ kombu 
rabbit_host 192.168.0.50 


rabbit_ password = openstackl 


core_ plugin = neutron.plugins .ml2.plugin.Ml2Plugin 
allow_overlapping_ips = True 


service plugins = router,firewall,lbaas,vpnaas,metering 


nova_ url = http://127.0.0.1:8774/v2 

nova_ admin username = admin 

nova_admin password = openstackl 

nova_ admin tenant id = b3c5ebecb36d4bb2916fecd8aed3aala 
nova_admin auth url = http://10.33.2.50:35357/v2.0 


[keystone _ authtokenl] 

auth url = http://10.33.2.50:35357/v2.0 
admin tenant name = service 

admin password = openstackl 

auth protocol = http 


admin user = neutron 


[databasel] 
connection = mysql://neutron dbu:openstack1l@192.168.0.50/neutron 


现在 核心 Neutron 组 件 已 经 配置 好 ,还 必须 配置 Neutron 代理 ， 人 允许 Neutron 控制 网 络 服 务 。 





6.2.3 配置 Neutron ML2 插件 


Neutron OVS 代理 允许 Neutron 控制 OVS 交换 机 。 
这 个 配置 可 以 在 /etc/neutron/plugins/ml2/ml2_conf.ini 文件 里 进行 。 代码 清单 6-20 提供 了 数据 
库 信 息 和 ML2 具体 交换 机 配置 。 





代码 清单 6-20 ”修改 /etc/neutron/plugins/ml2/ml2_conf.ini 


[m12] 

type_drivers = gre 

tenant_ network types = gre 
mechanism drivers = openvswitch 


[m1l2_type_grel 
tunnel id ranges = 1:1000 


[ovs ] 
local_ ip = 192.168.0.51 
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tunnel type = gre 


enable tunneling = True 


[securitygroup] 
firewall driver = 
neutron.agent .linux.iptables_firewall.O0OVSHybridiptablesFirewallDriver 


enable_security_group = True 
现在 已 完成 Neutron ML2 插件 的 配置 。 清 理 日 志文 件 ， 然 后 重启 服务 : 


sudo rm /var/log/neutron/openvswitch-agent.1log 


sudo service neutron-plugin-openvswitch-agent restart 


现在 Neutron ML2 插件 代理 的 日 志 应 该 看 起 来 如 下 : 





Logging enabled! 
Connected to AMOP server on 192.168.0.50:5672 
Agent initialized 


successfully, now running... 


现在 已 经 把 OSIL2 Neutron 和 OVS 上 整合 在 一 起 。 下 一 节 将 会 配置 OSIL3 Neutron 服务 。 





6.2.4 配置 Neutron L3 代理 


接 下 来 需要 配置 Neutron L3 代理 。 这 个 代理 为 虚拟 机 提供 L3 服务 ,如 路 由 。L3 代理 将 会 配 
置 使 用 Linux 命名 空间 ( namespace )。 


什么 是 Linux 命名 空间 隔离 


有 一 个 名 为 命名 空间 隔离 的 功能 构建 在 Linux 内 核 里 。 这 个 功能 允许 把 线程 和 资源 隔离 成 几 个 命 
名 空间 , 以 便 它 们 不 会 干扰 到 彼此 。 这 个 功能 通过 分 配 命名 空间 标识 码 给 每 个 线程 和 资源 来 内 部 实现 。 
从 网 络 的 角度 来 看 ， 命 名 空间 可 以 用 来 隔离 网 络 接口 、 防 火 墙 规 则 和 路 由 表 等 。 这 是 在 相同 Linux 服 
务 器 上 ， 多 租户 网 络 可 以 有 相同 的 地 址 范围 的 底层 实现 方式 。 


如 代码 清单 6-21 所 示 继 续 配 置 L3 代理 。 


代码 清单 6-21 修改 /etc/neutron/l3_agent.ini 





[DEFEAULT] 

interface driver = neutron.agent.linux.interface.OVSInterfaceDriver 
use_namespaces = True 

verbose = True 





现在 已 经 配置 好 L3 代理 ， 它 会 使 用 Linux 命名 空间 。 
清理 日 志文 件 ， 人 然后 重启 服务 


sudo rm /var/log/neutron/13-agent.1log 


sudo service neutron-l3-agent restart 
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现在 Neutron L3 代理 日 志 应 该 看 起 来 如 下 : 


Logging enabled! 
Connected to AMOP server on 192.168.0.50:5672 
L3 agent started 


6.2.5 ”配置 Neutron DHCP 代理 
下 一 步 是 配置 DHCP 代理 ， 它 为 虚拟 机 镜像 提供 DHCP 服务 。 如 代码 清单 6-22 所 示 修 改 
dhcp_agent.ini 文件 。 





代码 清单 6-22 ”修改 /etc/neutron/dhcp_agent.ini 


[DEFAULT] 

interface driver = neutron.agent.linux.interface.OVSInterfaceDriver 
dhcp_driver = neutron.agent.linux.dhcp.Dnsmasgq 

Use_namespaces = True 





DHCP 代理 已 经 配置 好 ， 将 会 使 用 Linux 命名 空间 。 清 理 日 志文 件 ， 然 后 重启 该 服务 : 


sudo rm /var/log/neutron/dhcp-agent.1log 


sudo service neutron-dhcp-agent restart 


现在 Neutron DHCP 代理 日 志 应 该 看 起 来 如 下 : 





Logging enabled! 
Connected to AMOP server on 192.168.0.50:5672 
DHCP agent started Synchronizing state 


Synchronizing state complete 


6.2.6 配置 Neutron 元 数据 代理 

下 一 步 是 配置 元 数据 代理 , 它 为 虚拟 机 镜像 提供 环境 信息 。cloud-init 最 初 是 由 Amazon 为 它 
的 EC2 服务 创建 的 ， 用 来 在 虚拟 机 启动 时 注入 系统 级 别 的 设置 。 要 使 用 元 数据 服务 ， 必 须 使 用 
安装 和 局 用 了 兼容 cloud-init 的 代理 的 镜像 。 

cloud-init 被 绝 大 多 数 现 代 Linux 发 行 版 文 择 。 可 以 下 载 预先 安装 了 cloud-init 的 镜像 或 者 在 
日 己 使 用 的 Linux 发 行 版 上 安装 这 个 包 。 

如 代码 清单 6-23 所 示 修 改 metadata_agent.ini 文件 。 





代码 清单 6-23 ”修改 /etc/neutron/metadata_agent.ini 


[DEFAULTI] 
auth url = http://10.33.2.50:35357/v2.0 


auth_ region = RegionOne 





admin tenant name = service 
admin password = openstackl 


auth protocol = http 
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admin user = neutron 
nova_ metadata ip = 192.168.0.50 


metadata_ proxy_shared secret = openstackl 
Neutron 元 数据 代理 已 经 配置 好 ， 它 将 会 使 用 Linux 命名 空间 。 清 理 日 志文 件 ， 然 后 重启 该 
服务 : 


sudo rm /var/log/neutron/metadata-agent.1og 





sudo service neutron-metadata-agent restart 


现在 Neutron DHCP 代理 日 志 应 该 看 起 来 如 下 : 





Logging enabled! 
(11074) wsgi starting up on http:///:v/ 
Connected to AMOP server on 192.168.0.50:5672 


6.2.7 ”重启 和 验证 Neutron 代理 
最 好 是 现在 重启 所 有 Neutron 服务 ， 如 代码 清单 6-24 所 示 。 或 者 ， 可 以 重启 服务 需 。 








代码 清单 6-24 重启 Neutron 代理 


$ cd /etc/init.d/; for i in $( ls neutron-x*x ); \ 


do sudo service $i restart; done 

neutron-dhcp-agent stop/waiting 

neutron-dhcp-agent start/running, process 16259 
neutron-l3-agent stop/waiting 

neutron-l3-agent start/running, process 16273 
neutron-metadata-agent stop/waiting 
neutron-metadata-agent start/running, process 16283 
neutron-ovs-cleanup stop/waiting 


neutron-ovs-cleanup start/running 


最 好 检查 Neutron 确保 每 个 服务 成 功 启 动 和 正在 监听 请 求 。 日 志文 件 可 以 在 /var/log/neutron 
或 /var/log/upstart/neutron-* 日 录 下 找到 。 

查看 日 志 ， 检查 到 AMQP ( RabbitMQ ) 服务 此 的 连接 ,确保 没有 错误 。 日 志文 件 应 该 存在 ， 
即使 它们 是 空 的 。 确 保 没 有 关于 OVS 隧道 不 支持 的 错误 出 现在 文件 /var/log/neutron/openvswitch- 
agent.log 中 。 如 有 果 出 现 这 样 的 错误 ， 重 局 操作 系统 ， 然 后 重新 加 载 内 核 模 块 和 OVS， 看 能 否 解 
决 这 个 问题 。 

如 果 启 动 Neutron 服务 还 继续 遇 到 问题 ,可 以 通过 修改 /etc/neutron/neutron.conf 文件 或 相应 的 
代理 文件 来 增加 服务 的 日 志和 输出。 











6.2.8 创建 Neutron 网 络 


在 第 3 章 中 介绍 了 OpenStack 网 络 。 本 闻 回 顾 在 那 一 章 出 现 的 内 容 ， 因 为 它们 跟 本 草 部 署 的 
组 件 相关 。 
在 使 用 OpenStack 网 络 服 务 创 建 网 络 前 ,需要 回忆 一 下 经 常用 在 虚拟 和 物理 机 右上 的 传统 “局 
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平 ”网 络 间 的 基本 区 别 ， 以 及 OpenStack 网 络 是 如 何 工作 的 。 
扁平 网 络 中 的 术语 遍 平 表示 










公共 地 址 没有 虚拟 路 由 层 ; 虚拟 机 直接 访问 

hyperyvisor 一 个 网 络 ， 就 像 将 一 个 物 理 设备 十 

有 四 税 有 让 | 入 到 物理 网 络 交换 机 上 。 图 64 展 

“因特网 wh 示 了 忆 平 网 络 连接 到 物理 路 由 带 
ee 物理 路 由 器 的 例子 。 





在 这 种 类 型 的 部 罩 中 , 所 有 网 
络 服务 (DHCP 、 人 负载 均衡 、 路 由 
等 ) 简单 交换 (OSI 模型 、L2 ) 之 
外 的 功能 必须 由 虚拟 环境 外 部 提供 。 大 多 数 系统 管理 员 对 这 类 配置 很 熟悉 , 但 这 不 是 我 们 将 如 何 
展示 OpenStack 的 强大 的 地 方 。 可 以 配置 OpenStack 网 络 跟 传统 扁平 网 络 一 样 ， 但 这 样 会 限制 
OpenStack 框 染 的 优点 。 

本 节 将 会 从 零 开始 创建 一 个 租户 网 络 。 图 6-5 展示 了 一 个 OpenStack 租户 网 络 ， 与 物理 外 部 
网 络 是 虚拟 隔离 的 。 


虚拟 机 
6-4 传统 局 平 网 络 








广域网 : 公共 网 络 / 公 网 子 网 
公共 地 址 192.168.2.0/24 Admin 
= = 一 一 一 点 dmiin 
pe pa 路 由 器 
~ ~、 z 内 部 网 络 /内 部 子 网 ea 
人 因特网 3 172.16.0.0/24 dq 
7 外 部 路 由 器 





Openstack 网 络 (Neutron) 


6-5 OpenStack 租户 网 络 


设置 环境 变量 


下 面 小 节 的 配置 都 需要 OpenStack 认证 。 在 前 面 的 例子 中 ,提供 命令 行 参 数 作为 赁 证。 为 了 清晰 
起 见 ， 下 面 的 例子 将 会 使 用 环境 变量 来 代替 命令 行 参 数 。 
设置 环境 变量 ， 在 shell 终端 执行 下 面 的 命令 . 


$ export OS USERNAME=admin 
$ export OS _ PASSWORD=openstackl 
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S export OS_TENANT_NAME=adqmin 
$ _ export OS_ AUTH URL=http://10.33.2.50:5000/v2.0 


1， 网 络 (Neutron) 控制 台 


Neutron 命令 可 以 通过 Neutron 控制 台 《〈 与 网 络 路 由 硕 和 交换 机 的 命令 行 类 似 ) 或 下 接 通 过 
CLI 输入 。 如 采 知 道 要 执行 的 操作 ,控制 台 非 常 方便 ,是 熟悉 Neutron 命令 集 的 用 户 的 目 然 选择 。 
然而 ， 为 了 清晰 起 见 ， 本 书 对 每 个 操作 的 演示 都 用 单独 的 命令 ， 使 用 CLI 命令 。 

Neutron 控制 台 和 Neutron CLI 间 的 差异 将 会 在 下 面 的 小 方 中 介 绍 。 通 过 Neutron CLI 和 控制 
台 可 以 做 很 多 在 Dashboard 无 法 做 的 事情 。 虽 然 演 示 将 会 使 用 CLI 执行 , 读 首 还 是 有 必要 知道 如 
何 访问 Neutron 控制 台 。 从 下 文 可 以 看 出 ， 相 当 简 单 。 使 用 不 带 参 数 的 neutron 命令 束 可 以 进 
入 控制 台 。 使 用 代码 清单 6-25 所 示 的 命令 ， 所 有 子 命令 都 会 列举 出 来 。 





代码 清单 6-25 ”访问 Neutron 控制 台 





devstack@devstack:~/devstacks$ neutron 


(neutron) help 


Shell commands (type help <topic>): 


(neutron) 
现在 可 以 访问 交互 式 的 Neutron 控制 台 了 。 任何 CLI 配置 可 以 通过 控制 台 或 直接 通过 命令 行 
操作 。 
下 一 小 市 将 会 创建 一 个 新 的 网 络 。 
2. 内 部 网 络 
提供 基于 租户 的 网 络 的 第 一 步 是 配置 内 部 网 络 。 这 个 内 部 网 络 补 租户 内 的 实例 下 接 使 用 。 这 
个 内 部 网 络 工作 在 OSI L2 层 ， 因 此 对 于 网 络 类 型 ， 这 是 专门 为 某 个 租户 提供 的 网 络 交 换 机 每 效 


的 虚拟 对 象 。 
要 为 租户 创建 一 个 内 部 网 络 ， 冯 和 完 必须 查 明 租户 的 ID: 


$ keystone tenant-list 





es 十 一 一 一 一 一 一 一 一 一 才 二 二 二 二 二 三 三 二 三 十 
| id | name | enabled | 
i 下 下 + 
| 55bd141d9a29489d938bb492alb2884c | admin | True | 
| b3c5ebecb36d4bb2916fecd8aed3aala | service | True | 
十 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 十 一 一 一 一 一 一 一 一 一 十 一 一 一 一 一 一 一 一 一 十 


使 用 代码 清单 6-26 所 示 的 命令 ,可 以 为 租户 创建 一 个 新 网 络 。 首 先 ,告诉 OpenStack 网 络 
( Neutron ) 要 创建 一 个 新 网 络 。 然 后 ,在 命令 行 中 指定 admintenant-id。 最 后 ， 指 定 租 户 网 








代码 清单 6-26 创建 内 部 网 络 


$ neutron net-create \ < 人 
诉 Neutron 创建 一 个 新 的 网 
--tenant-id 55bd141d9a29489d938bb492a1b2884c \、 本 -一 一- 不 | 建 一 个 新 的 网 络 











n 呈 全 把 必 ， / _ 
INTERNAL_ NETWORK "指定 网 络 名 称 旧 定 admin 的 tenant-id 
Created a new network: 
EE ER 十 
| Field | Value | 
te Es 十 
| admin_ state_up | True | 
| ia | 5b04alf2-1676-4fle-a265-adddc5c589b8 | 
| name | INTERNAL NETWORK | 
| provider:network_ type | gre | 
| provider:physical _ network | | 
| provider:segmentation id | 1 | 
| shared | False | 
| status | ACTIVE | 
| subnets | | 
| tenant_id | 55bd141d9a29489d938bb492alb2884c | 
2 EE A 汪 生生 芷 三 生 二 寺 十 
图 6-6 展示 了 为 租户 创建 的 内 部 网 络 INTERNAL_ NETWORK。 
一 个 虚拟 机 的 话 )。 


现在 已 经 创建 了 一 个 内 部 网 络 。 下 一 小 市 将 会 为 这 个 网 络 创建 
一 个 内 部 子 网 。 


3， 内 部 子 网 


在 前 一 小 节 中 , 已 经 创建 了 一 个 内 部 网 络 。 在 租户 内 创建 的 这 
个 内 部 网 络 与 其 他 租户 完全 隔离 。 对 于 工作 在 物理 服务 需 ， 或 者 通 
党 直接 将 虚拟 机 票 圳 到 物理 网 络 的 用 户 来 说 , 对 这 个 概念 可 能 有 些 
陌生 。 大 多 数 人 习惯 于 连接 服务 器 到 该 网 络 , 网络 服务 在 数据 中 心 。 openstack 网 络 (Neutron) 
或 企业 层次 被 提供 ,我 们 通常 不 会 认为 网 络 和 计算 可 以 在 相同 的 框 6-6 ”创建 内 部 网 络 
当下 被 控制 。 

如 上 文 所 述 ，OpenStack 可 以 配置 成 局 平 网 络 模 式 。 但 OpenStack 管理 网 络 栈 有 很 多 好 处 。 
本 小 和 将 会 为 租户 创建 一 个 子 网 。 可 以 把 它 当 成 是 租户 的 OSIL3 供应 。 读 者 可 能 会 想 ,“ 你 说 什 
么 ”你 不 能 在 网 络 里 提供 L3 服务 !1” 或 者 “我 已 经 有 L3 服务 集中 在 数据 中 心 , 我 不 想 OpenStack 
为 我 提供 这 个 !” 阅 读 完 本 市 ， 或 者 也 许 是 阅读 完 本 书 ， 读者 会 得 到 这 些 问题 的 答案 。 暂 时 只 需 
要 相信 OpenStack 融 来 的 好 处 是 通过 这 些 特征 变 得 更 加 让 寞 或 者 是 必 不 可 少 的 。 

为 某 个 网 络 创 建 子 网 意味 着 什么 ”基本 是 定义 需要 的 网 络 , 定义 计划 在 这 个 网 络 上 使 用 的 地 
址 范围 。 在 这 个 例子 中 , 将 会 为 租户 ADMIN 的 ADMIN_NETWORK 网 络 分 配 新 的 子 网 。 还 必须 提 
供 的 是 子 网 地 址 范围 。 可 以 使 用 租户 内 或 者 共享 租户 未 使 用 的 地 址 范围 。OpenStack 比较 有 意思 
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的 是 通过 使 用 Linux 命名 空间 可 以 在 每 个 租户 内 的 每 个 内 部 子 网 使 用 相同 的 地 址 范围 。 
输入 代码 清单 6-27 所 示 的 命令 。 


代码 清单 6-27 为 网 络 创建 一 个 内 部 子 网 





创建 新 子 网 
已 放 z ， 
$ neutron subnet—~-create \ > > 指定 admin 的 tenant—1id 


-tenant-id 55bdl41d9a29489d938bb492alpb2884c \\ 
INTERNAL NETWORK 172.16.0.0/24 要 一 一 一 


Created a new Subnet : “人 @ 指定 网 络 名 称 和 子 网 地 址 范围 
4 Rs + 
| Field | Value | 
= 一 = 二 二 + 
| a1location coole | (SET T1722,.16.0.27, Tenane 172.16.0.,254")} | 
| wiar | 172.16.0.0/24 | 
| dns_nameservers | | 
| enable_dhcp | True | 
| gateway_ip | 172.16.0.1 | 
| host_routes | | 
| ia | eb0c84d3-ea66-437f-9dla-9defe8cccd06 | 
| ip_ yersion | 洱 | 
| name | | 
| network_id | 5b04alf2-1676-4fle-a265-adddc5c589b8 | 
| tenant_id | 55bd141d9a29489d938bb492alb2884c | 
人 Ee + 


首先 , 告诉 OpenStack 网 络 ( Neutron ) 要 创建 一 个 
新 子 网 人 @。 然 后 ， 在 命令 行 指定 admintenant-id@， 
最 后 ,指定 要 创建 子 网 的 网 络 名 称 和 使 用 CIDR 标记 法 
傅 被 用 于 内 部 网 络 的 子 网 地 址 范围 。 不 要 忘记 ， 如 果 需 内 部 网 络 /内 部 子 网 
要 查找 admintenant-id ， 使 用 Keystone 的 | 
tenant-id 命令 。 eseesternea 

现在 创建 了 INTERNAL_NETWORK 网 络 的 子 网 。 

图 6-7 展示 了 子 网 分 配 到 INTERNAL_ NETWORK 的 过 程 。 
遗憾 的 是 , 这 个 子 网 还 是 孤立 的 , 接 下 来 的 步骤 可 以 把 私 
有 网 络 连接 到 公共 网 络 。 

下 一 小 节 将 添加 一 个 路 由 需 到 刚 创 建 的 子 网 。 记 下 

subnet-id， 因 为 在 随后 的 小 节 中 会 用 到 。 人 


Admin 
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CIDR 标记 法 如 上 文 所 述 ，CIDR 是 一 种 表示 子 网 的 紧凑 方式 。 对 于 内 部 子 网 ， 通 和 常 是 使 用 私 
有 的 C 类 地 址 范围 。 对 于 内 部 或 私有 网 络 最 常 使 用 的 私有 地 址 范围 之 一 是 192.168.0.0/24， 它 提 
供 的 范围 是 192.168.0.1 一 192.168.0.254。 
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4. 路 由 器 


路 由 带 简 单 来 说 就 是 路 由 接口 间 的 流量 。 在 这 个 例子 中 ， 在 租户 内 已 经 有 一 个 独立 的 网 络 ， 
然后 想 与 其 他 租户 网 络 或 者 OpenStack 以 外 的 网 络 通信 。 代 码 清单 6-28 展示 了 如 何 创建 一 个 新 
的 租户 路 由 融 。 





代码 清单 6-28 ”创建 路 由 器 





了 

$ neutron router-create \ 9 指定 a 的 Bonen 
--tenant-id 55bd141d9a29489d938bb492alb2884c \ 

ADMIN_ ROUTER a 

Created a new router: 全 指定 路 由 器 名 称 

下 二 一 二 二 二 二 一生 二 一 一 二 二 二 二 二 二 下 十 
| Flield | Value | 
和 于 十 
| admin_ state_up | True | 
| external_gateway_info | | 
I ve | 5d7f2acd-cfc4-41bd-b5be-ba6d8e04fle9 | 
| name | ADMIN_ROUTER | 
| status | ACTIVE | 
| 放 Bnait 二 总 | 55bd141d9a29489d938bb492alb2884c | 
十 二 二 三 二 二 二 二 二 二 二 二 一 一 一 二 和 一 一 人 十 


首先 ， 告 诉 OpenStack 网 络 ( Neutron ) 要 创建 一 个 新 的 路 由 噩 辐 。 然 后 ， 在 命令 行 指 定 
admintenant-id@。 最后， 指定 路 由 硕 的 名 称 合 。 

图 6-8 展示 了 在 租户 内 创建 的 路 由 带 。 

现在 有 了 一 个 新 的 路 由 融 ， 但 租户 路 由 郑 和 子 网 还 没 连接 。 代 人 码 清 单 6-29 展示 了 如 何 连接 
子 网 到 路 由 兹 。 





代码 清单 6-29 ”添加 路 由 器 到 内 部 子 网 


0 添加 内 部 子 网 
$ neutron router-interface-add \ 
5d7f2acd-cfc4-41bd-pb5be-ba6d8e04fle9 \、 专 一 一 一 者) 指定 路 由 器 ID 


eb0c84d3-ea66-437f-9dla-9defe8cccd06 8 
指定 子 网 ID 


Added interface 54f0f944-06ce-4c04-861c-c059bc38fe59 
to router 5d7f2acd-cfc4-41lbd-b5be-ba6d8e04fle9. 





首先 ， 告诉 OpenStack 网 络 ( Neutron ) 要 添加 一 个 内 部 子 网 到 路 由 需 各 。 然 后 ， 指 定 路 由 需 
的 router-id 介 。 最 后 ， 指 定子 网 的 subnet-id 合 。 

如 果 需 要 查找 Neutron 相关 的 对 象 ID, 可 以 通过 不 之 参数 的 命令 neutron 运行 Neutron CLI 
应 用 程序 访问 Neutron 控制 台 。 进 入 Neutron 控制 台 ， 可 以 使 用 help 命令 来 浏览 所 有 命令 。 

图 6-9 展示 了 连接 到 内 部 网 络 INTERNAL_NETWORK 的 路 由 器 ADMIN_ROUTER 。 
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Admin Admin 


Admin Admin 
路 由 器 路 由 器 


内 部 网 络 /内 部 子 网 : 内 部 网 络 /内 部 子 网 : 
172.16.0.0/24 > 之 172.16.0.0/24 










OpenStack 网 络 (Neutron) OpenStack 网 络 (Neutron) 
图 6-8 创建 内 部 路 由 着 图 6-9 路 由 器 连接 到 内 部 网 络 





添加 路 由 需 到 子 网 的 过 程 实际 会 在 本 地 虚拟 交换 机 增加 一 个 端口 (port )。 可 以 认为 虚拟 交换 
机 上 的 端口 和 物理 交换 机 上 的 端口 具有 同样 的 方式 。 在 本 例 中 ， 这 个 设备 是 ADMIN_ROUTER， 
网 络 是 INTERNAL_NETWORK, 子 网 是 172 .16.0.0/24。, 路 由 器 使 用 创建 子 网 时 指定 的 地 址 ( 默 
认 是 第 一 个 可 用 地 址 )。 当 创建 实例 (虚拟 机 ) 时 ， 可 以 在 实例 与 路 由 器 地 址 172.16.0.1 通信 ， 
但 还 是 不 能 路 由 网 络 包 到 外 部 网 络 。 





DHCP 代理 在 旧版 本 的 OpenStack 网 络 中 ,你 必须 手动 添加 DHCP 代理 到 网 络 中 。DHCP 代理 
为 实例 提供 卫 地 址 。 在 当前 版 本 ， 这 个 代理 会 在 首次 创建 实例 时 自动 添加 。 然 而 ， 在 高 级 配置 
里 ， 这 些 代 理 (各 种 类 型 ) 也 是 可 以 通过 Neutron 手动 添加 的 。 


路 由 各 只 连接 到 一 个 网 络 没 有 多 大 用 处 , 因此 下 一 步 会 把 这 个 路 由 天 连接 到 即将 创建 的 公共 
网 络 。 


5. 外 部 网 络 


在 前 面 的 “内 部 网 络 ” 小 节 ， 已 经 为 菜 个 租户 指定 了 一 个 网 络 。 这 里 将 会 创建 一 个 可 以 被 
多 个 租户 使 用 的 公共 网 络 。 这 个 公共 网 络 可 以 被 添加 到 私有 路 由 带 上 作为 之 前 创建 的 内 部 网 络 
的 网 天 。 

只 有 aqmin 用 户 可 以 创建 外 部 网 络 。 如 果 不 指定 ， 新 的 外 部 网 络 会 创建 在 adqmin 租户 里 。 
代码 清单 6-30 所 示 的 命令 创建 了 一 个 新 的 外 部 网 络 。 


代码 清单 6-30 ”创建 一 个 外 部 网 络 





创建 一 个 新 的 网 络 
neutron net-create \ 


PUBLIC_NETWORK 所 一 一 一 一 和 才 》 指定 网 络 名 称 
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-—-router:external=True -= 和 考 指派 为 外 部 网 络 
Created a new network: 

十 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 EE + 
| Field | Value | 
ee se 十 
| admin_ state_up | 于 Eue | 
Ne | 64d44339-15a4-4231-95cc-ee04bffbc459 | 
| name | PUBLIC_NETWORK | 
| provider:network_ type | gre | 
| provider:physical _ network | | 
| provider:segmentation id | 2 | 
| router:external | True | 
| shared | False | 
| status [CE 十 | 
| subnets | | 
| tenant_id | 55bd141d9a29489d938bb492alb2884c | 
i ee + 


首 完 ， 告诉 Neutron 要 创建 一 个 新 网 络 碟 ， 并 指定 网 络 名 称臣。 然后 ， 指 派 这 个 网 络 为 外 部 
网 络 合 。 
现在 已 经 有 一 个 网 络 指派 为 外 部 网 络 。 如 图 6-10 所 示 , 这 个 网 络 是 在 租户 admin 内 创建 的 。 
在 使 用 这 个 网 络 作 为 租户 路 由 此 网 关 CD) “路 由 硕 ” 小 节 所 示 ) 之 前 ， 必 须 匈 添加 一 个 子 
网 到 这 个 刚 创 建 的 外 部 网 络 。 接 下 来 进行 这 一 步 。 


6. 外 部 子 网 
现在 必须 如 代码 清单 6-31 所 示 创 建 一 个 外 部 子 网 。 


代码 清单 6-31 创建 外 部 子 网 








en 设置 网 大 地 址 机 本 
设置 地 址 范围 

neutron subnet-create \ 

——-gateway 192.168.2.1 \ 

——-allocation-pool start=192.168.2.100,end=192.168.2.250 \ 

PUBLIC_ NETWORK \ 

192.168.2.0/24 \、 专 一 一 到 定义 外 部 网 络 

-enable_dhcp=False 一 = 

Created a new subnet : .> 。 @ 不 提供 DHCP 服务 和 定义 子 网 
和 于 

| Field | Value 

平一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 圭一 二 一 三 一 二 一 一 一 一 二 二 一 一 一 一 二 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 二 一 一 一 一 一 一 一 一 一 十 
allocation Pools | {"start™": "192.168.2.100", "end": "192.168.2.250"} 
he | 国共 


| | 
| | 
| dns_nameservers | | 
| enable_dhcp | False | 
| | 


gateway_ip | 192.168.2.1 
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host routes 
id ee91dd59-2673-4bce-8954-b6cedbf8e920 
ip_version 4 


| 
| 
| 
| 
network_id | 64d44339-15a4-4231-95cc-ee04bffbc459 
| 


name 
tenant_id 55bdl41d9a29489d938bb492alb2884c | 
ee ee ee es ee 十 


首先 ， 告 诉 Neutron 要 创建 一 个 新 子 网 个 。 然 后 ,设置 网 关 地 址 为 第 一 个 可 用 地 址 人 @， 并 定 
义 分 配给 这 个 子 网 的 可 用 地 址 范围 入 。 接 着 定义 这 个 子 网 将 会 分 配 的 外 部 网 络 和 .使 用 CIDR 格 
式 定 义 子 网 因 。 最 后 ， 指 定 OpenStack 不 用 为 这 个 子 网 提供 DHCP 服务 地。 

在 图 6-11 中 ,可 以 看 到 现在 有 一 个 子 网 192.168.2.0/24 分 配 到 外 部 网 络 PUBLIC _NETWORK。 













公共 网 络 /公共 子 网 

公共 网 络 Admin 192.168.2.0/24 Admin 
Admin Admin 
2 路 由 器 2 路 由 器 

内 部 网 络 /内 部 子 网 内 部 网 络 /内 部 子 网 
172.16.0.0/24 172.16.0.0/24 
OpenStack 网 络 (Neutron) OpenStack 网 络 (Neutron) 
6-10 创建 外 部 网 络 6-11 创建 外 部 子 网 


刚刚 创建 的 子 网 和 外 部 网 络 现在 可 以 被 OpenStack 网 络 路 由 器 用 来 作为 网 关 网 络 。 在 下 一 步 , 将 
会 分 配 新 创建 的 外 部 网 络 作为 内 部 网 络 的 网 关 地 址 。 
列举 路 由 器 获取 路 由 器 ID 
可 以 用 neutron router-1ist 命令 列举 系统 中 所 有 路 由 器 


devstack@devstack:~/devstacks$ neutron router—-list 


= 一 一 一 一 一 一 一 一 一 一 一 一 = 十 
Ed | name | external gateway_ info | 
十 一 一 一 一 一 一 一 一 十 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 十 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 十 
eaeoADMIN ROUTEROON ol | 
十 一 一 一 一 一 一 一 一 十 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 十 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 十 


可 以 如 代码 清单 6-32 所 示 分 配 一 个 外 部 子 网 作为 网 关 。 
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代码 清单 6-32 ”添加 一 个 新 的 外 部 网 络 作 为 路 由 顺 网 天 


neutron router-gateway—set \ 





使 用 路 由 器 网 关 设 置 命令 


5d7f2acd-cfc4-4lbd-b5be-ba6d8e04fle9 \ 泗 一 一 一 兹 定 路 由 器 ID 


64d44339-15a4-4231-95cc-ee04bffbc459 专 一 一 一 指定 外 部 网 络 ID 


Set gateway for router 
l15d7f2acd-cfc4-4lbd-b5be-ba6d8e04fle9 


图 6-12 eh ADMIN 内 分 配 网 络 PUBLIC_NETWORK 作为 ADMIN_ROUTER 路 由 器 
的 网 关 。 可 以 通过 执行 命令 neutron router-show <router-id> (<router-id> 是 路 由 
条 RDMIN_ROUTER 的 站 来 确认 这 个 设置 。 这 条 命令 会 返回 external_gateway_info， 列 


举 了 当前 分 配 为 网 关 的 网 络 。 或 者 ， 可 以 登录 到 OpenStack Dashboard 来 查看 租户 网 络 。 








公共 网 络 /公共 子 网 : - 
192.168.2.0/24 Admin 
一 Adimin 
< 路 由 器 
3 内 部 网 络 /内 部 子 网 : = 本 = 
< 172.16.0.0/24 < 


外 部 路 由 器 aa 


虚拟 机 


Openstack 网 络 (Neutron) 
图 6-12 分 配 公共 网 络 作 为 路 由 器 网 关 


6.2.9 关联 Linux、OVS 和 Neutron 

现在 读者 应 该 有 一 个 正常 运行 的 Neutron 环境 和 一 个 或 两 个 可 用 的 网 络 。 但 将 不 可 避免 地 出 
现 某 些 问 题 ， 需 要 排查 。 自 然 ， 读 者 会 对 怀疑 的 Neutron 组 件 调 高 日 志 级 别 。 如 果 科 和 运 的 话 ， 可 
二 4 是 一 个 明显 的 错误 。 但 如 果 不 笠 运 ， 可 能 会 是 Neutron 依赖 的 底层 系统 的 问题 。 在 本 草 中 ， 

已 经 介绍 了 这 些 依赖 和 组 件 的 关系 。 在 很 多 例子 中 , 创建 的 网 络 都 是 通过 利用 Linux 命名 空间 来 

实现 的 ,可 能 读者 之 前 没 用 过 它 。 现 在 使 用 Linux 命名 空间 来 把 创建 在 网 络 的 组 件 和 系统 层 关联 
起 来 。 

在 Neutron 节点 查看 Linux 网 络 命名 空间 : 

















$ sudo ip netns list 
qrouter-5d7f2acd-cfc4-41lbd-b5be-ba6d8e04fle9 


结果 建议 应 该 查看 命名 空间 grouter-5d7f2acd-cfc4-41bd-b5be-ba6d8e04fle9。 引 用 命名 空间 ， 
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可 以 显示 所 有 网 络 接 口 适 配 带 


sudo ip netns exec gqrouter-5d7f2acd-cfc4-41lbd-b5be-ba6d8e04fled\ 
OO @@ 接口 qr_54f0f944-06 


qdqgq-896674dq7-52 Link encap:Ethernet HWaddr fa:16:3e:3b:fd:28 < 一 
inet addr:192.168.2.100 Bcast:192.168.2.255 Mask:255.255.255.0 
inet6 addr: fe80::f816:3eff:fe3b:fd28/64 Scope:Link 
UP BROADCAST RUNNING MIU:1500 Metric:1 
RX packets:0 errors:0 dropped:0 overruns:0 frame:0 
TX packets:9 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen:0 
RX bytes:0 (0.0 B) TX bytes:738 (738.0 B) 


qr—-54f0f944-06 Link encap:Ethernet HWaddr fa:16:3e:e7:f3:35 “ie 
net Sd 1 Ll Boastrln2 L60255. Maski255.255.255.0 \ 
inet6 addr: fe80::f816:3eff:fee7:f335/64 Scope:Link @ 
UP BROADCAST RUNNING MTU:1500 Metric:1 接口 qg-896674d7-52 


RX packets:0 errors:0 dropped:0 overruns:0 frame:0 
TX packets:9 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen:0 

RX bytes:0 (0.0 B) TX bytes:738 (738.0 B) 


无 论 读者 知道 与 否 ， 这 个 功能 存在 于 Linux 发 行 版 中 已 有 一 段 时 间 了 。 注 意 ， 接 口 qg- 
896674dq7-52 和 与 Neutron PUBLIC_INTERFACE 有 相同 的 地 址 范围 ,接口 
和 Neutron INTERNAL_INTERFACE 有 相同 的 地 址 范围 。 事 实 上 ， 对 于 各 自 的 网 络 ， 有 相应 的 路 


由 融 接 口 。 








使 用 Linux 网 络 命 名 空间 


要 使 用 网 络 命名 空间 ， 必 须 在 每 条 命令 前 添加 ip netns <function> <namespace_id>. 
sudo ip netns <function> <namespace id> <command> 


更 多 关于 ip netns 的 信息 ， 可 以 查阅 在 线 手册 网 页 ( 以 “ip-netns” 列 出 ): http://man7.org/linux/ 


man-pages/man8&/ip-netns.8.htm|。 


好 了 。 现在 在 命名 空间 里 有 了 一 些 接口 ,这些 接口 与 本 革 AS 硕 接 口 相关 。 在 某 
些 时 刻 ， 访 者 可 能 想 在 OpenStack Neutron 网 络 上 的 虚拟 机 实例 间 通 信 ， 或 者 进行 外 部 网 络 到 
OpenStack Neutron 的 通信 。 这 就 是 OVS 发 挥 作用 的 时 候 了 。 

查看 OVS 实例 : 











$ sudo ovs-vsctl show 


Bridge br-int 


Port "qr-54f0f944-06" 
tag: 1 
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Interface "qr-54f0f944-06" 


type: internal 


Bridge br-ex 

Port br-ex 

Interface br-ex 
type: internal 

Port "“"p2p1" 
Interface "“"p2p1" 

Port "gqg-896674d7-52" 
Interface "gqg-896674d7-52" 


type: internal 





自从 在 代码 清单 6-4 看 到 后 , 有 新 的 东西 添加 到 OVS 了 。 注意 接口 gr-54£0f944-06, 显 
示 为 内 部 网 桥 br-int 的 一 个 Port "ar-54f0f944-06"。 同 样 ， 接 口 adg-896674dq7-52 显 
示 为 外 部 网 桥 be-ex 的 一 个 Port "qdqg-896674dq7-52"。 

这 意味 着 什么 ? 在 配置 里 创建 的 路 由 融 外 部 接口 跟 物 理 接 口 p2P1 在 同一 个 网 桥 be-ex 上 。 
这 意味 着 OpenStack Neutron 网 络 PUBLIC_NETWORK 会 使 用 物理 接口 pr-ex 来 与 OpenStack 外 
部 的 网 络 通信 。 

现在 所 有 这 些 部 分 都 联系 在 一 起 了 ,读者 可 以 移 到 下 一 市 ,通过 图 形 化 界面 查看 新 创建 的 
网 络 。 





6.2.10 ”检查 Horizon 


在 第 5 章 已 经 部 署 了 OpenStack Dashboard。Dashboard 现在 应 该 可 以 通过 http://<controller 

address>/horizon 访问 。 
现在 最 好 登录 以 确保 这 些 组 件 出 现在 Dashboard 上 。 以 用 户 名 aqdmin 和 密码 openstack1l 
登录 。 一旦 登录 到 Horizon， 在 左边 














System Info 工具 栏 里 选择 “Admin” 标签 。 然后 ， 
Network Agents 单 击 System Info ” 并 查 看 下 面 的 
Network Agents QU Fe “Network Agents” 标 签 内 容 ， 应 该 看 
S ey 候 天 去 
Type Name Host Status State Updated At 起 来 如 图 0-13 所 示 。 如 琳 读 痢 二 跟 
Open VSwitch agent = neutron-openvswitch-agent network Enabled Up 0 minutes 着 前 面 的 指南 进行 ? 网 络 应 该 站 现在 
Metadata agent Nevutror-metadata-agent network Enabled Up 0 minutes D ashbo ard 上 
DHCP agent neutror-dhop-agent network Enabled Up 0 minutes 现在 确保 在 admin 租户 内 | 并 
L3 agent neutron-B-agent network Enabled Up 0 minutes 


在 左边 工具 栏 里 选择 “Project” 标 签 。 
然后 ， 依 次 单 击 “Network” 和 
”Network Topology 。 “ Network 
Topology” 界 面 应 该 跟 图 6-14 类 似 。 








Displaying 4 Kerms 
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6.3 小结 171 


ADMIN ROUTER 
ID Sd7t2acd-ctc4-41bd-bSbe-ba6d8e04t109 
TATUS @ ACTIVE 
Interfaces 
54101944-06¢ 172.16.0.1 router interface ACTIVE 国 - CI 


896674d7-52 192.168 .2,100 router gateway ACTIVE 


» view router details | Delete Router 





Peo/0e 98395261 
yz20095 ZL 


6-14 PUBLIC/INTERNALADMIN 网 络 的 网 络 拓扑 


图 6-14 中 显示 了 公共 网 络 、 租 户 路 由 天 , 以 及 租户 网 络 与 租户 的 关系 。 如 采 能 做 到 跟 几 6-14 
中 显示 的 一 样 ， 说 明 读 者 已 经 成 功 手动 部 普 网 络 节 点 了 。 


XL 


小 结 





一 个 单独 的 物理 网 络 接口 用 于 虚拟 机 通信 。 

Neutron 市 点 在 功能 上 充当 路 由 各 和 交换 机 。 

Open vSwitch 可 以 用 来 在 通用 服务 部 上 局 用 高 级 交换 功能 。 

网 络 路 由 是 Linux 内 核 的 一 部 分 。 

窗 盖 网 络 使 用 GRE、VXLAN 和 其 他 这 种 隧道 来 连接 像 虚 拟 机 和 其 他 Neutron 路 由 需 实 
例 这 样 的 端点 。 

OpenStack 网 络 可 以 为 在 分 开 的 hypervisor 上 的 虚拟 机 间 通 信 构 建 履 盖 网 络 。 

Neutron 提供 OSIL2 和 1L3 服务 。 

Neutron 代理 可 以 被 配置 提供 DHCP、 元 数据 和 在 Neutron 网 络 的 其 他 服务 。 

Neutron 可 以 配置 使 用 Linux 网 络 命名 空间 与 OVS 结合 提供 完整 的 虚拟 化 网 络 环境 。 

所 有 租户 可 以 在 内 部 使 用 相同 的 网 络 卫 范围 ,不 会 有 冲突 ， 因 为 它们 通过 使 用 Linux 命 
名 空间 进行 隔离 。 

Neutron 路 由 融 可 以 用 来 路 由 内 部 和 Neutron 外 部 网 络 的 流量 。 
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存储 节点 部 署 准备 

理解 逻辑 卷 管理 器 ( LVM ) 

部 署 OpenStack 块 存储 

通过 OpenStack 块 存 储 管理 LVM 存储 
测试 OpenStack 块 存储 








第 5 章 介 绍 了 OpenStack 控制 右 节 点 的 部 署 ， 欣 制 硕 记 点 提供 了 OpenStack 服务 的 服务 
吉 端 管理 。 在 控制 器 部 署 过 程 中 ， 对 多 个 OpenStack 核心 服务 ， 包 括 网 络 、 计 算 和 存储 进行 
了 控制 妖 瘦 的 配置 。 我 们 还 讨论 了 与 控制 右 相 关 的 每 个 核心 服务 的 配置 ， 但 没有 详细 介绍 这 
些 服 务 。 

第 6 章 部 车 了 第 一 个 独立 的 资源 节点 。 这 个 市 点 为 部 芽 提供 OpenStack 网 络 服务 。 本 章 将 会 
手动 部 署 另 外 一 个 独立 资源 节点 来 提供 OpenStack 块 存储 服务 。 

如 图 7-1 所 示 ， 已 经 完成 手动 部 署 OpenStack 的 一 半 了 。 

再 看 看 在 第 5 章 介 绍 的 多 市 点 架构 ， 如 图 7-2 所 示 。 本 章 将 会 手动 部 署 位 于 图 7-2 右 下 方 的 
OpenStack 块 存 储 组 件 。 谈 者 将 会 在 一 个 独立 节点 上 手动 部 署 它们 。 如 果 旋 者 之 前 工作 在 虚拟 化 
环境 ， 本 和 曹 介 绍 的 基础 概念 应 该 不 会 党 得 卫生。 

首先 , 读者 需要 准备 服务 器 来 作为 提供 存储 功能 的 设备 。 在 这 个 过 程 中 ,读者 需要 你 留 一 块 
原始 的 物理 人 磁盘， 准备 好 它 被 系统 级 别 的 卷 管理 天 管 理 。 然 后 ， 将 会 配置 OpenStack 块 存储 使 用 
这 个 卷 管 理 需 来 管理 存储 资源 。 本 章 配置 的 存储 资源 将 会 直接 被 OpenStack 提供 的 虚拟 机 使 用 。 
直接 被 虚拟 机 使 用 的 存储 资源 通常 叫 作 虚拟 机 卷 ( volume )。 

在 本 书展 示 的 多 市 点 例子 中 , 将 会 使 用 作为 OpenStack 块 存储 节点 的 同一 合 服务 天 提供 的 存 
储 , 但 正如 第 4 曹 所 介绍 的 ， 这 样 做 不 是 必需 的 。 除 了 使 用 存储 节点 (如 物理 上 挂 载 了 磁盘 ) 上 
的 存储 ， 存 储 节 点 可 以 用 来 管理 由 厂商 存储 系统 (SAN 、Ceph 等 ) 提供 的 存储 。 为 了 简单 起 见 ， 
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本 书 的 例子 将 会 使 用 物理 上 位 于 存储 节点 的 存储 ， 不 会 引入 广 商 存储 系统 。 
现在 开始 吧 ! 


Keystone Clance 


=— 


身份 认证 镜像 





第 8 章 
7-1 部 姥 线 路 图 


Xse 准备 块 存储 节 扣 部 署 环境 


正如 本 书 第 二 部 分 的 所 有 章节 一 样 ， 本 章 会 介绍 手动 安 疫 和 配置 依赖 及 OpenStack 核心 软 
件 包 。 


小 心 进行 ”在 多 节点 环境 工作 增加 了 部 署 的 复杂 度 。 组件 或 依赖 配置 的 一 个 看 起 来 不 相关 的 很 小 
的 错误 ， 都 有 可 能 造成 非常 难以 排查 的 问题 。 仔 细 阅 读 每 节 ， 确 保 理 解 进 行 的 安 北 或 配置 。 


本 章 的 多 个 例子 通 帝 会 包含 确认 步 又 ， 恋 者 不 应 该 跳 过 这 些 步 又 。 如 打 某 个 配置 确认 失败 ， 
读者 应 该 回 退 到 前 面 的 确认 扣 重 新 开始 。 这 种 做 法 可 以 大 大 降低 用 户 的 挫败 感 。 
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Kevystone Glance Horizon 


和 一 < Cm 


身份 认证 Dashboard 


Neutron Cinder 
网 络 


公共 网 络 : 
10.33.2.0/24 


存储 节点 为 虚 
拟 机 提供 和 管 
+ 一 理 存储 资源 。 





7-2 ”多 市 护 洋 构 


7.1.1 准备 环境 


除了 网 络 配置 外 ， 环 境 准 备 跟 在 第 5 草 和 第 6 草 部 署 控 制 希 节点 和 网 络 节 点 时 的 准备 类 似 。 
按照 讨论 中 的 说 明 ,， 在 配置 过 程 中 , 要 注意 网 络 接口 和 地 址 。 很 容 多 手 误 ， 从 而 导致 很 难 排查 出 
这 些 问 题 。 
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7.1.2 配置 网 络 接口 
要 配置 的 网 络 有 以 下 两 种 接口 。 
图 下 点 接口 一 一 传输 与 OpenStack 不 直接 相关 。 这 个 接口 用 于 管理 性 任务 ， 如 SSH 终端 访 
问 、 软 件 更 新 和 节点 级 别 的 监控 。 
图 ”内 部 接口 一 一 与 OpenStack 组 件 间 通信 相关 的 传输 。 包 括 API 和 AMQP 类 型 的 传输 。 
首先 ， 需 要 弄 清 楚 系 统 现 有 的 接口 。 


1]1. 回顾 网 络 
代码 清单 7-1 所 示 的 命令 用 来 列举 服务 需 上 的 所 有 接口 。 





代码 清单 7-1 列举 接口 
$ ifconfig -a 
eml Link encap:Ethernet HWaddr b8:2a:72:d4:52:0f 
inet addr:10.33.2.62 Bcast:10.33.2.255 Mask:255.255.255.0 
inet6 addr: fe80::ba2a:72ff:fed4:520f/64 Scope:Link 
UP BROADCAST RUNNING MULTICAST MIU:1500 Metric:1 


RX packets:44205 errors:0 dropped:0 overruns:0 frame:0 


TX packets:7863 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen:1000 

RX bytes:55103938 (55.1 MB) TX bytes:832282 (832.2 KB) 
Interrupt:35 


em2 Link encap:Ethernet HWaddr b8:2a:72:d4:52:10 
BROADCAST MULTICAST MIU:1500 Metric:1 
RX packets:0 errors:0 dropped:0 overruns:0 frame:0 
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen:1000 
RX bytes:0 (0.0 B) TX pytes:0 (0.0 B) 
Interrupt:38 


你 可 能 在 初始 化 安装 时 配置 过 节点 接口 em1。 你 将 会 使 用 eml 接口 来 与 这 个 节点 通信 。 看 
-下 另 一 个 接口 em2 。 在 本 书 的 示例 系统 中 ， 接 口 em2 将 被 用 作 OpenStack 内 部 传输 。 
下 面 将 会 再 次 展示 为 示例 节点 进行 的 网 络 配置 ， 然 后 配置 控制 器 接口 。 
2. 配置 网 络 


在 Ubuntu 系统 里 ,接口 配置 是 通过 文件 /etc/network/interfaces 来 维护 的 ,我 们 将 会 基于 表 7-1 
中 斜体 表示 的 地 址 来 进行 配置 。 

















表 7-1 网 络 地 址 表 


控制 器 公共 接口 /节点 地 址 10.33.2.50/24 
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控制 器 192.168.0.50/24 
网 络 保留 ， 分 配给 OpenStack 网 络 


为 了 修改 网 络 配 置 或 其 他 特权 配置 ， 必 须 使 用 sudo 特权 ( sudo vi /etc/network/ 
interfaces )。 这 个 过 程 可 以 使 用 任何 文本 编辑 器 。 
如 代码 清单 7-2 所 示 修 改 接口 文件 。 








代码 清单 7-2 ”修改 接口 文件 配置 /etc/network/interfaces 


# The loopback network interface 


auto lo 


iface lo inet loopback 


# The OpenStack Node Interface 


1 eml 接口 





auto eml 

iface eml inet static 
address 10.33.2.62 
netmask 255.255.255.0 
network 10.33.2.0 
broadcast 10.33.2.255 
gateway 10.33.2.1 
dns-nameservers 8.8.8.8 


dns—search 七 estco .Com 


# The OpenStack Internal Interface 


auto em2 





各 sm2 接口 
Iface em2 inet static 

address 192.168.0.62 

netmask 255.255.255.0 


在 网 络 配置 中 ，eml 接口 全 将 用 于 节点 管理 ,如 到 实际 服务 需 的 SSH 会 话 。OpenStack 不 会 
直接 使 用 eml 接口 。em2 接口 加 主要 用 于 资源 节点 和 控制 部 之 间 的 AMQP 和 API 传输 。 





为 什么 有 一 个 存储 接口 
在 实践 中 ， 因 为 各 种 原因 ， 不 只 是 性 能 问题 ， 用 户 想 要 把 存储 传输 和 虚拟 机 网 络 传输 隔离 。 不 像 
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一 个 物理 服务 器 有 本 地 人 磁盘， 这 些 虚 拟 机 的 本 地 卷 在 其 他 服务 器 上 ， 它 们 通过 网 络 通信 。 虽 然 网 络 可 
以 用 来 为 存储 传输 ， 网 络 性 能 ( 延迟 、 委 包 等 ) 的 变化 对 存储 网 络 的 影响 远大 于 虚拟 机 网 络 。 例 如 ， 
一 个 小 延迟 对 于 OpenStack 组 件 间 获取 API 响应 是 可 以 忽略 不 计 的 , 但 相同 的 延迟 , 对 于 一 个 操作 系 
统 试图 从 RAM 获取 交换 页 ， 存 放 到 一 个 网 络 挂 载 的 卷 上 的 存储 来 说 是 “致命 ”的 。 

为 了 简单 起 见 ， 本 章 的 例子 不 分 开 存 储 和 OpenStack 内 部 传输 。 在 生产 环境 ， 不 推荐 这 样 做 。 


现在 应 该 刷新 网 络 接口 使 更 改 的 配置 生效 。 如 果 没 有 改变 主 接口 的 设置 , 在 刷新 后 就 不 会 出 
现 连接 中 断 。 如 果 改 变 了 主 接口 的 地 址 ， 应 该 现在 就 重 局 服务 从 。 

如 果 改 变 了 网 络 配置 ,那么 可 以 为 特定 的 接口 刷新 网 络 配置 ,代码 清单 7-3 所 示 刷 新 了 em2 
接口 配置 。 














代码 清单 7-3 ”刷新 网 络 配置 


sudo ifdown em2 && sudo ifup em2 


从 操作 系统 的 角度 来 看 , 这些 网 络 配 置 现在 应 该 生效 了 。 接口 会 基于 配置 自动 上 线 。 这 个 过 
程 可 以 对 每 个 需要 刷新 配置 的 接口 重复 进行 。 
为 了 确保 配置 生效 ， 可 以 再 次 检查 接口 ， 如 代码 清单 7-4 所 示 。 


代码 清单 7-4 ”检查 网 络 的 更 新 
$ ifconfig -a 
eml Link encap:Ethernet HWaddr b8:2a:72:d4:52:0f 
inet addr:10.33.2.62 Bcast:10.33.2.255 Mask:255.255.255.0 
inet6 addr: fe80::ba2a:72ff:fed4:520f/64 Scope:Link 
UP BROADCAST RUNNING MULTICAST MIU:1500 Metric:1 


RX packets:44490 errors:0 dropped:0 overruns:0 frame:0 








TX packets:8023 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen:1000 

RX bytes:55134915 (55.1 MB) TX bytes:863478 (863.4 KB) 
Interrupt:35 


em2 Link encap:Ethernet HWaddr b8:2a:72:d4:52:10 
inet addr:192.168.0.62 Bcast:192.168.0.255 Mask:255.255.255.0 
inet6 addr: fe80::ba2a:72ff:fed4:5210/64 Scope:Link 
UP BROADCAST RUNNING MULTICAST MIU:1500 Metric:1 
RX packets:1 errors:0 dropped:0 overruns:0 frame:0 
TX packets:6 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen:1000 
RX bytes:64 (64.0 B) TX bytes:532 (532.0 B) 
Interrupt:38 


现在 应 该 可 以 远程 访问 网 络 服务 各 ,而 且 这 个 服务 带 应 该 可 以 访问 互联 网 。 后 续 的 安 疡 可 以 
直接 在 控制 台 或 者 使 用 SSH 远程 执行 。 
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7.1.3 更 新 安 狠 包 

正如 第 5 章 和 第 6 草 所 述 , APT 包 有 索引 是 被 /etc/aptysources.list 文件 中 远程 目录 定义 的 所 有 可 
用 包 的 数据 库 。 要 确保 本 地 的 数据 库 与 指定 的 Linux 发 行 版 最 新 可 用 的 安装 包 库 同步 。 在 安装 前 ， 
需要 先 升级 所 有 库 项 目 ， 包括 Linux 内 核 ， 因 为 内 核 也 可 能 不 是 最 新 的 。 更 新 和 升级 包 如 代码 清 
单 7-5 所 示 。 











代码 清单 7-5 ”更 新 和 升级 安装 包 


sudo apt-get ~y update 





sudo apt-get ~y upgrade 


现在 需要 重启 服务 促 刷 新 任何 可 能 改变 的 包 或 配置 ， 如 代码 清单 7-6 所 示 。 


代码 清单 7-6 重启 服务 器 


sudo reboot 


7.1.4 ”安装 和 配置 逻辑 卷 管理 器 

本 节 将 会 安装 一 些 软件 依赖 和 做 一 些 配 置 上 的 改变 ， 为 OpenStack 组 件 的 安装 做 好 准备 。 

逻辑 卷 管理 带 ( LVM ) 是 Linux 内 核 的 一 个 卷 管理 器 。 一 个 卷 管 理 需 是 一 个 简单 的 管理 层 ， 
提供 了 物理 设备 的 分 区 和 逻辑 设备 间 的 系统 级 别 的 抽象 。 可 以 把 LVM 当成 一 个 人 硬件 RAID 适 配 
怖 。LVM 位 于 Linux 内 核 和 存储 设备 之 间 ， 提 供 管理 存储 卷 的 软件 层 。 这 个 软件 层 提供 了 以 下 
几 个 比 直 接 使 用 存储 设备 的 关键 优势 : 

图 ”调整 卷 大 小 一 一 物理 和 虚拟 卷 都 可 以 用 来 扩展 或 缩小 一 个 LVM 卷 ; 

图 快照 一 一 LVM 可 以 用 来 创建 卷 的 读 / 写 快照 ( 克隆 或 者 复制 ); 

图 ”自动 精简 配置 技术 一 一 LVM 可 以 创建 一 个 在 系统 级 别 指定 大 小 的 卷 , 但 这 些 存储 直到 它 

要 使 用 时 ， 才 实际 分 配 ， 自 动 精简 配置 技术 是 一 个 常用 的 存储 资源 超额 配置 技术 ; 
图 启用 缓存 的 卷 一 一 利用 SSD ( 快 ) 存储 创建 的 LVM 卷 可 以 作为 更 慢 的 卷 的 缓存 。 























LVM 严格 来 说 不 是 OpenStack 块 存 储 依赖 ”在 示例 中 ， 将 会 使 用 原始 存储 ( 物理 磁盘 ) 挂 载 到 
运行 OpenStack 块 存储 ( Cinder ) 的 相同 的 物理 市 点 。Cinder 将 会 配置 使 用 一 个 特定 的 LVM 卷 
cinder-volumes。 如 果 Cinder 配置 成 管理 厂商 提供 设备 上 的 存储 卷 ， 那 就 不 用 配置 LVM。 





1. 安装 LVM 


如 果 你 正在 使 用 Ubuntu 14.04 操作 系统 ， 那 么 在 安装 过 程 中 可 以 选择 使 用 LVM 来 管理 你 的 
系统 磁盘 。 如 果 在 这 个 过 程 中 选择 了 使 用 LVM， 就 不 需要 下 面 的 步骤 ， 但 也 无 妨 。 然 而 ， 如 果 
LVM 没有 被 安装 ， 那 现在 就 应 该 如 代码 清单 7-7 所 示 安 装 它 。 
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代码 清单 7-7 安装 LVM 


$ sudo apt-det install lvm2 





Reading package lists... Done 

Building dependency tree 

Reading state information... Done 

The following extra packages will be installed: 
libdevmapper-event1.02.1 watershed 

The following NEW packages will be installed: 
libdevmapper-event1.02.1 lvm2 watershed 





现在 已 经 安装 好 LVM 工具 ， 可 以 创建 LVM 卷 了 。 


2. 使 用 LVM 
在 本 市 中 ,读者 需要 识别 可 以 用 来 作为 存储 的 物理 设备 ,然后 创建 一 个 被 Cinder 使 用 的 LVM 卷 。 


例子 中 使 用 的 设备 


预期 读者 会 使 用 专门 的 节点 ( 物理 或 虚拟 ) 来 进行 第 5 章 一 第 8 章 的 例子 。 如 果 可 以 访问 的 资源 
配置 与 这 几 章 的 架构 匹配 ， 那 么 一 切 正常 。 另 外 ， 如 果 资 源 有 限 ( 一 个 磁盘 、 一 个 网 络 适配器 等 )， 
读者 可 以 按照 自己 的 工作 环境 进行 修改 。 

下 面 的 例子 对 于 一 个 或 多 个 磁盘 都 是 可 以 的 。 这 些 例子 甚至 可 以 使 用 磁盘 分 区 而 不 是 整个 磁盘 。 


大 多 数 现代 Linux 发 行 版 都 将 udev 一 种 动态 设备 管理 需 ) 用 于 内 核 设 备 管理 ,在 使 用 udev 
的 系统 , 如 我 们 使 用 的 Ubuntu14.04 系统 , 磁盘 设备 会 在 硬件 路 径 /dewdislyby-path 下 罗列 和 管理 。 
这 个 目录 如 代码 清单 7-8 所 示 。 


代码 清单 7-8 ”列举 磁盘 设备 


$ ls -la /dev/disk/by-path 





pci-0000:03:00.0-scsi-0:2:2:0 -> ../../sda 
pci-0000:03:00.0-scsi-0:2:2:0-part1l -> ../../sdal 
pci-0000:03:00.0-scsi-0:2:2:0-part2 -> ../../sda2 
pci-0000:03:00.0-scsi-0:2:2:0-part3 -> ../../sda3 
pci-0000:03:00.0-scsi-0:2:3:0 -> ../../sdb 
pci-0000:03:00.0-scsi-0:2:4:0 -> ../../sdc 
pci-0000:03:00.0-scsi-0:2:5:0 -> ../../sdd 


代码 清单 显示 了 4 个 物理 磁盘 设备 : sda、sdb、sdc 和 sdd。 可 以 看 到 卷 sad 有 3 个 分 区 : 
sdal、sda2 和 sdqa3。 虽 然 没 有 在 代码 清单 7-8 中 显示 出 来 ,但 是 在 这 个 存储 市 点 上 物理 设备 
sda 作为 系统 卷 正 在 被 使 用 。 余 下 的 设备 sqb 、sdc 和 sdq， 将 会 用 来 创建 LVM 卷 。 

现在 知道 哪些 磁盘 设备 是 你 的 目标 ， 可 以 开始 使 用 LVM 了 。 
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了 解 设备 或 风险 数据 丢失 


确保 用 来 作为 目标 的 存储 设备 ( 驱动 ) 可 以 在 操作 系统 内 部 和 外 部 被 识别 。 很 多 服务 器 使 用 存储 
适配器 来 连接 物理 磁 有 盘 和 服务 器 。 人 存储 适配器 可 以 简单 作为 一 块 原 始 磁盘 在 操作 系统 内 的 表示 ， 或 者 
它们 可 以 用 来 表示 多 块 磁盘 作为 一 个 逻辑 卷 。 残 操作 系统 而 言 ， 物 理 磁 盘 和 届 辑 磁盘 看 起 来 是 完全 相 
同 的 ( 内 存 可 寻 址 的 存储 )， 因 为 存储 适 配 回 抽 象 了 这 个 关系。 存储 适配器 将 会 报告 物理 和 逻辑 ( 如 
RAID 阵列 ) 磁盘 的 SCSIID。 代 码 清单 7-8 显示 了 如 何 匹 配 SCSIID scsi-0:2:2:0 到 sda 设备 的 
映射 ， 来 确保 对 适当 的 磁 青 操作 。 


3. LVM 的 关系 和 命令 


本 书 不 是 关于 LVM 的 ， 但 在 开始 创建 卷 前 ， 读 者 应 该 对 LVM 组 件 和 命令 有 基本 的 理解 。 
LVM 分 为 以 下 3 个 功能 组 件 : 
图 物理 卷 physical volume ) 一 一 物理 设备 的 一 个 或 多 个 分 区 (或 者 整个 设备 ); 





图 ” 卷 组 ( volume group ) 一 一 一 个 或 多 个 物理 卷 代表 一 个 或 多 个 人 逻辑 卷 ; 
图 地 辑 卷 (logical volume ) 一 一 一 个 卷 组 里 的 一 个 卷 。 


有 很 多 LVM 工具 和 命令 ,但 这 里 只 介绍 Cinder 创建 卷 时 需要 使 用 的 .下 面 的 命令 是 为 Cinder 
创建 一 个 LVM 卷 必需 的 : 

图 pvcreate <device> 用 来 从 Linux 存储 设备 创建 物理 卷 ; 

国 pvscan 用 来 显示 物理 卷 的 列表 ; 

图 pvdisplay 用 来 显示 物理 卷 的 属性 ， 如 大 小 、 状 态 和 系统 级 别 的 标识 ; 

图 vgcreate <name> <device> 用 来 分 配 物 理 卷 到 一 个 名 为 <name> 的 存储 池 。 


4. 物理 卷 操作 

将 会 使 用 pvcreate 来 创建 物理 LVM 设备 。 这 个 过 程 在 引用 的 磁盘 的 开始 创建 了 一 个 卷 组 
描述 符 。 

代码 清单 7-9 显示 了 如何 从 3 个 Linux 系统 设备 sdb、sdc 和 sdd 创建 一 个 LVM 物理 卷 。 


代码 清单 7-9 使 用 pvcreate 创建 一 个 物理 卷 
$ sudo pvcreate /dev/sdb /dev/sdc /dev/sdd 


Physical volume "/dev/sdb" successfully created 





Physical Volume "/dev/sdc" successfully created 


Physical volume "/dev/sdd" successfully created 


现在 ， 需 要 按 代码 清单 7-10 所 示 使 用 pvscan 命令 来 验证 设备 是 否 成 功 创建 。 


代码 清单 7-10 ”使 用 pvscan 命令 验证 物理 卷 
$ sudo pvscan 
PV /dev/sda3 VG storage-vg lvm2 [835.88 GiB / 24.00 MiB free] 
PV /dev/sdb lvm2 [4.55 TiB] 
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PV /dev/sdc lvm2 [4.55 TiB] 
PV /dev/sdd lvm2 [4.55 TiB] 
Total: 4 [14.45 TiB] / in use: 1 [835.88 GiB] / in no VG: 3 [13.64 TiB] 


代码 清单 7-10 显示 了 刚 创 建 的 物理 卷 和 代码 清单 7-8 显示 的 sda 卷 。sda 卷 是 在 Linux 安 
装 过 程 中 创建 的 ， 现 在 已 经 分 配 到 storage-vg 卷 组 。 
查看 物理 卷 的 更 多 详情 ， 可 以 如 代码 清单 7-11 所 示 使 用 命令 pvdi splay，。 








代码 清单 7-11 使 用 pvdisplay 来 显示 物理 卷 属性 


$ sudo pvdisplay 


-——— Physical volume 一 -一 


PV Name /dev/sda3 

VG Name storage-vg 

PV Size 835.88 GiB / not usable 2.00 MiB 
Allocatable yes 

PE Size 4.00 MiB 

Total PE 213986 

Free PE 6 

Allocated PE 213980 

PV UUID XKAbeN-MI3p-kD9h-qHAS-ZXDZ-nzuh-echFIzZ 


"/dev/sdb" is a new physical volume of "4.55 TiB" 


——— NEW Physical volume 一 -一 


PV Name /dev/sdb 

VG Name 

PV Size 4.55 TiB 

Allocatable NO 

PE Size 0 

Total PE 0 

Free PE 0 

Allocated PE 0 

PV UUID NUNvkKkZ-ggd7-8GA2-IS2n-71xr-wkOW-qdUL84 


现在 已 经 从 系统 级 别 的 设备 sdb、sdc 和 sqd 创建 出 LVM 物理 卷 。 读 者 可 以 进行 下 一 步 ， 
即 卷 组 的 操作 。OpenStack 块 存储 ( Cinder ) 将 会 与 LVM 在 卷 组 级 别 交 互 。 


5， 卷 组 操作 


下 一 步 是 创建 一 个 卷 组 。 简 单 来 说 ， 卷 组 就 是 包含 前 面 步 又 创建 的 物理 卷 的 存储 池 。 
如 代码 清单 7-12 所 示 创 建 名 为 cinder-volumes 的 新 卷 组 。 








代码 清单 7-12 ”使 用 vgcreate 创建 卷 组 


$ sudo vgcreate cinder-volumes /dev/sdb /dev/sdc /dev/sdd 





Volume group "cinder-volumes" successfully created 


接着 ,需要 确保 卷 组 被 成 功 创建 。 如 果 重 复 代码 清单 7-10 所 示 的 pvscan 命令 ， 将 会 看 到 
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物理 卷 已 经 被 分 配 到 一 个 卷 组 。 
代码 清单 7-13 使 用 命令 vgdisplay 显示 所 有 卷 组 。 





代码 清单 7-13 ”使 用 vgdisplay 验证 卷 组 


$ sudo vgdisplay 





--— Volume group 一 一 一 


VG Name cinder-volumes 

VG Size 13.64 TiB 

PE Size 4.00 MiB 

Total PE 3575037 

Alloc PE / Size 0 / 0 

Free PE / Size 3575037 5 3s TEB 

VG UUID 10n40i-fPAS-EsHf-WbH/~P6M5-1U0f-TcBrXxX2 


--— Volume group 一 一 一 


VG Name storage-vg 





代码 清单 7-13 显示 了 刚 创 建 的 cinder-volumes 卷 组 ， 以 及 在 操作 系统 安装 过 程 中 创建 
的 storage-vg 郑 组 。 

好 了 。 现 在 得 到 系统 级 别 的 设备 和 创建 了 LVM 物理 卷 。 下 一 步 ， 分 配 这 些 物理 卷 到 名 为 
cinder-volumes 的 卷 组 。 如 果 读 者 之 前 使 用 过 LYM， 可 能 会 想 下 一 步 是 创建 逻辑 卷 ( 从 
cinder-volumes 池 中 创建 一 个 虚拟 卷 )， 但 本 例 中 不 是 这 样 。 取 而 代 之 的 是 Cinder 将 会 配置 
来 管理 这 个 cindqer-volumes 池 。Cinder 将 会 基于 虚拟 机 的 需要 来 创建 逻辑 卷 。 

重启 存储 节点 。 重 启 后 ， 检 查 卷 组 cinder-volumes 是 否 还 在 ， 如 代码 清单 7-13 所 示 。 
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Cinder 在 块 存储 资源 和 计算 服务 (Nova ) 之 间 提 供 了 一 个 抽象 层 。 通 过 Cinder API, 块 存储 
可 以 被 管理 (创建 、 销 毁 和 分 配 等 )， 而 不 需要 知道 提供 存储 的 底层 资源 。 

考虑 一 个 组 织 历来 由 分 开 的 小 组 来 管理 存储 和 计算 资源 。 在 这 种 场景 下 ,存储 组 应 该 骏 露 
Cinder 服务 给 计算 组 ,提供 OpenStack Nova 使 用 的 存储 。 换 句 话 说，Cinder 的 块 存 储 服务 消费 
者 不 需要 知道 管理 后 端 存 储 的 底层 系统 。Cinder 翻译 了 底层 存储 系统 的 API 来 提供 存储 资源 和 
相关 统计 报告 。 跟 OpenStack 网 络 一 样 ， 后 并 存储 子 系统 的 底层 文 持 由 基于 厂商 的 Cinder 插件 
提供 。 

对 于 每 个 OpenStack 发 行 版 ， 对 每 个 插件 都 有 最 低 数量 要 求 的 功能 和 统计 报告 。 如 果 插 件 没 
有 持续 维护 ,也 没有 添加 要 求 的 功能 和 报告 ， 那 就 会 在 下 一 个 发 行 版 中 弃 用 。 当 前 版 本 最 低 要 求 
的 功能 和 报告 列表 见 表 7-2 和 表 7-3。 最 新 的 插件 要 求 列表 可 以 在 GitHub 仓库 中 找到 : https:// 


github.com/openstack/cinder/blob/master/doc/source/devref/drivers.rst。 
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表 7-2 最 低 功能 要 求 











功能 名 称 摘 ”人 述 
创建 /删除 卷 在 后 端 存储 系统 为 虚拟 机 创建 /删除 郑 
挂 载 /解除 卸载 卷 在 后 端 存储 系统 为 虚拟 机 挂 载 /解除 卸载 卷 
创建 /删除 快照 在 后 端 存 储 系统 实时 为 卷 创 建 /删除 快照 
从 快照 创建 郑 在 后 端 存储 系统 从 之 前 的 快照 创建 新 卷 
获取 卷 状 态 获取 某 个 卷 的 统计 报告 
复制 镜像 为 若 复制 镜像 为 虚拟 机 可 以 使 用 的 知 
复制 卷 为 镜像 复制 虚拟 机 使 用 的 卷 为 二 进 制 镜 像 
区 隆 郑 苑 隆 一 个 虚拟 机 卷 为 另 一 个 虚拟 机 卷 
扩展 着 扩展 虚拟 机 的 卷 的 尺寸 而 不 破坏 关上 现 有 的 数据 


表 7-3 最 低 统计 报告 要 求 
统计 名 称 样 例 描述 
driver- version 1.0a 为 报告 插件 或 驱动 的 厂商 特定 驱动 的 版 本 
free_ capacity_gb 可 用 的 GB 数量 。 如 果 是 不 清楚 或 无 限 ， 就 报告 “unknown” 或 者 “infinite?” 
reserved_percentage | ”10 | 保留 空间 比例 ， 当 卷 扩展 被 使 用 时 需要 它 








storage_protocol iSCSI 报告 存储 协议 : iSCSI、FC 和 NFS 等 
Te 102400 | 总共 可 用 的 GB 数量 。 如 果 是 不 清楚 或 无 限 , 束 报 告 “unknown ”或 和 “infinite” 
vendor_name 提供 后 端 存储 系统 的 厂商 名 称 








volume_backend_name 厂商 后 端的 卷 名 称 。 在 统计 报告 和 问题 排查 时 是 必需 的 


在 本 书展 示 的 多 市 点 设计 中 , 插件 (LVM ) 的 相关 实现 将 会 作为 底层 存储 子 系统 。 但 还 有 来 
目 于 很 多 厂 阐 平台 和 技术 的 插件 可 以 被 Cinder 使 用 。 
下 一 方 将 会 继续 进行 Cinder 的 部 署 过 程 。 前 和 完 ， 将 会 安 半 Cinder 组 件 ， 然后 配置 这 些 组 件 。 














7.2.1 ”安装 Cinder 
不 像 在 第 6 章 部 署 的 多 个 Neutron 组 件 , 这 里 只 有 一 个 Cinder 组 件 需 要 安装 和 配置 。 可 以 按 
代码 清单 7-14 所 示 安 装 cinder-volume 组 件 。 








代码 清单 7-14 安装 Cinder 组 件 


$ sudo apt-get install -y cinder-volume 





[sudo] password for sysop: 
Reading package lists... Done 
Building dependency tree 
Reading state information... Done 
The following extra packages will be installed: 
alembic cinder-common libboost-systeml.54.0 libboost-threadl.54.0 
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Adding System user cinder' (UID 105) ... 
Adding new user ‘cinder' (UID 105) with group cinder' ... 


ey a ee de 

虽然 在 安装 过 程 只 需要 引用 cinder-volume, 但 可 以 看 到 这 个 服务 有 很 多 依赖 。 其 中 一 个 
基础 依赖 是 Linux 小 型 计算 机 系 纪 弱 口 (small computer System interface, SCSI )target 检 8 (tgt )。 

关于 OpenStack 和 Linux 内 核 的 关系 ， 可 以 把 tgt 想象 成 跟 Open vSwitch 一 样 。 当 然 ， 在 功 
能 层面 ,它们 完成 非常 不 同 的 任务 ,但 它们 在 内 核 级 别 和 用 户 可 访问 功能 之 间 搭 建 起 一 座 ”" 桥 桨 ”。 
这 两 个 框架 被 OpenStack 插件 使 用 来 实现 系统 级 别 的 任务 ， 而 OpenStack 不 用 直接 与 Linux 内 核 
打交道 。 完 全 可 以 把 tgt 当成 Cinder 的 助手 。 

现在 cinder-volume 软件 包 已 经 安装 好 , 助手 服务 也 已 经 局 动 , 可 以 继续 Cinder 的 配置 。 











tgt 是 什么 

Linux SCSI target 框架 ( tgt ) 简化 了 在 Linux 环境 里 整合 多 协议 SCSI target 的 过 程 。 支 持 下 面 
的 target 驱动 

国 SCON (时 | WWEISCSI 

图 ”FCoE ( 基于 以 太 网 的 光纤 通道 ) 

国 ”iSER ( 基于 RDMA 的 iSCSI， 使 用 Infiniband )。 

值得 注意 的 是 tgt 的 一 个 竞争 对 手 一 一 Linux-IO Target ( http:Wlinux-iscsi.org/ )， 它 声称 将 在 
Linux 2.6.38 内 核 中 取代 tgt， 但 OpenStack 对 这 个 框架 的 支持 自 OpenStack Grizzly 版 本 以 来 都 没 
更 新 过 8 


7.2.2 ”配置 Cinder 
下 一 步 是 配置 。 首 和 完 ， 必 须 修改 /etc/cinder/cinder.conf 文件 。 用 户 将 会 定义 服务 认证 、 管 理 
通信 、 存 储 助 手 和 LVM 卷 组 的 名 称 。 代 码 清 单 7-15 中 黑体 字 显 示 的 行 是 需要 添加 或 修改 的 。 




















代码 清单 7-15 ”修改 /etc/cinder/cinder.conf 


[DEFAULTI] 
,1 
iscsi helper = tgtadm -号 一 , cinder-volumes 卷 组 
volume_group = cinder-volumes -二 
rpc_backend = cinder.openstack.common .rpc.impl_kombu 
rabbit_host = 192.168.0.50 : \ 二 、 
| Cinder 和 Glance 通过 


rabbit_password = openstackl 


J 192.168.0.50 通信 
glance_host = 192.168.0.50 本 -一 一 


[aqatapbpase |】 
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connection = mysql://cinder_dbu:openstack1@192.168.0.50/cinder 


[keystone _ authtokenl] 

auth _ uri = http://10.33.2.50:35357/v2.0 
admin tenant name = service 

admin password = openstackl 
auth_protocol = http 


admin user = cinder 


iscsi_helper tgtadm 是 7.2.1 节 讨 论 的 tgt 框架 的 一 部 分 介 。 

在 上 文 “ 使 用 LVM” 小 节 创 建 了 了 cinder-volumes 着 组。 现在 读者 应 该 知道 如 何 创建 新 
卷 组 和 在 何 处 配置 Cinder， 读 者 可 以 使 用 任何 喜欢 的 名 称 。 

Cinder 将 会 通过 OpenStack 内 部 网 络 192.168.0.50 和 Glance 直接 通信 四， 见 表 7-1 的 定义 。 
应 用 到 虚拟 机 卷 的 镜像 将 会 直接 从 Glance 应 用 到 Cinder。 

现在 已 经 安 疙 了 Cinder 和 配置 它 去 使 用 在 前 面 草 节 创建 的 LVM 池 。 现在 继续 下 一 方 来 验证 
Cinder 部 署 。 








7.2.3 重启 和 验证 Cinder 代理 
最 后 一 步 是 重 局 cinder-volume 服务 来 启用 新 的 配置 。 男 外 ， 读 者 还 需要 重启 tgt 助手 
服务 。 





代码 清单 7-16 ”重启 Cinder 


sudo service cinadqer-volLume restart 


cinder-volume stop/waiting TT 重 户 卷 服 务 
“重启 Cinder j 
口 、lndeTr 
cinder-volume start/running, process 13822 





sudo service tgt restart 重启 tgt 服务 


tgt stop/waiting 
tgt start/running, process 6955 


最 好 检查 Cinder 日 志 ， 确 保 服 务 成 功 启动 和 正在 览 昕 请求。 日 志 可 以 在 /var/log/cinder- 
volume.log 文件 找到 。 


ERROR [-j No module named MySQLdb 


如 果 在 cinder-volume.log 出 现 “[-] No module named MySQLdb” 这 个 错误 ， 说 明 在 你 的 系统 
中 用 于 Python 的 MySQL 接口 没有 作为 依赖 被 安装 。 安 装 bython-mysdldb 软件 包 来 解决 这 个 问题 . 

$ sudo apt-get install python-mysqldb 

Reading package lists... Done 

Building dependency tree 

Reading state information... Done 

The following extra packages will be installed: 

libmysqlclient18 mysql-common 
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cinder-volume 日 志 (/var/log/upstart/cinder-volume.log ) 看 起 来 应 该 如 下 : 


Starting cinder-volume node (version 2014.1.2) 
Starting volume driver LVMISCSIDriver (2.0.0) 
Updating volume status 

Connected to AMOP server on 192.168.0.50:5672 


查看 日 志 ， 检查 到 AMQP ( RabbitMQ ) 服务 器 的 连接 ， 确保 没 有 出 错 。 日 志文 件 应 该 存在 ， 
即使 它们 是 空 的 。 如 果 日 志良 好 ， 继 续 下 一 节 测 试 Cinder 操作 。 





XX 测试 :对 当 口 


虽然 现在 还 没 安 装 有 所 有 人 拟 机 测试 Cinder, 但 还 是 可 以 并 且 应 该 测试 一 些 Cinder 
的 基本 功能 。 本 章 介 绍 如 何 通过 命令 行 工具 和 Dashboard 来 创建 卷 。 








7.3.1 创建 Cinder 卷 : 命令 行 
首先 ， 必 须 如 代码 清单 7-17 所 示 安 装 Cinder 命令 行 工具 。 





代码 清单 7-17 ”安装 Cinder 命令 行 工 具 


sudo apt-get install -~y python-cinderclient 


python-cinderclient 软件 包 提 供 了 了 cinder 命令 行 应 用 程序 。 要 使 用 cinder 命令 ， 
需要 提供 应 二 证 ， 包括 一 个 认证 地 址 。 可 以 把 凭证 信息 设置 为 shell 变量 的 一 部 分 ， 
或 者 屁 这 些 信息 县 通过 命令 行 参数 传递 给 应 用 。 为 了 提供 创建 卷 过 程 的 详细 信息 ， 这 里 的 例子 将 
会 使 用 命令 

代码 清单 7-18 展示 了 如 何 列 举 所 有 的 Cinder 卷 。 跟 着 例子 ， 虽 然 知道 现在 还 没有 卷 。 这 一 
步 确 认 客 户 端 和 服务 端 交 互 正常 。 





代码 清单 7-18 列举 Cinder 卷 


$ cinder \ 


--os-username admin \ 

--os-passwordq openstackl \ 

--os-tenant-name admin \ 

——-os-auth-url http://10.33.2.50:35357/v2.0 \\ 

list 

二 二 一 二 一 十 = 一 一 一 一 一 一 一 十 三 一 一 一 二 一 一 一 一 一 一 一 一 一 于 三 一 一 一 一 一 村 一 一 一 一 一 一 一 一 一 一 一 一 一 二 二 = 二 一 二 一 二 一 一 一 于 二 一 三 一 一 一 一 一 一 一 一 一 一 十 
| ID | Status | Display Name Size Volume Type | Bootable | Attached to | 


如 果 一 切 正 常 ， 那 么 可 以 看 到 类 似 代 码 清单 7-18 所 示 的 输出 。 如 果 遇 到 错误 ， 查 看 Cinder 
日 志 (/var/log/cinder/cinder-volume.log ) 里 出 现 的 明显 错误 。 
如 果 一 切 正 常 ， 那 么 可 以 按 代码 清单 7-19 所 示 创 建 一 个 卷 。 
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代码 清单 7-19 创建 Cinder 卷 


$ cinder \ 


--os-username admin \ 

--os-passwordq openstackl \ 

—-—-os-tenant-name admin \ 

—-—-os-auth-url http://10.33.2.50:35357/v2.0 \\ 
create \ 

——display-name "My First Volumel!" \ 


——display-description "Example Volume: OpenStack in Action™ \ 


CR ER 用 GB 指定 卷 大 小 
| Property | Value | 
i Es + 
| attachments | [] | 
| availability zone | nova | 
| bootable | false | 
| created_ at | 2014-09-07T16:53:03.998340 | 
| display_description | Example Volume: OpenStack in Action | 
| display_name | My First Volume! | 
| encrypted | False | 
| id | a595q38f-5f32-48e5-903b-9559ffda06bl | 
| metadata | {} | 
| size | 二 
| snapshot_id | None | 
| source_ volid | None | 
| status | creating | 
| volume_type | None | 
二 te + 


在 卷 创建 的 过 程 中 ,会 生成 一 个 卷 名 称 。 这 个 卷 名 称 会 与 系统 提供 的 LVM 逻辑 卷 的 名 称 匹 
配 。 查 看 /var/log/cinder/cinder-volume.log 文件 ， 可 以 看 到 类 似 这 样 的 内 容 : 
卷 名 称 =voLlume-a595dq38f-5f32-48e5-903b-9559ffda06b1l 
cinder.volume.flows.manager.create Volume ... _create_raw_ volume 


'volume name': u'volume-aS95d38f-5f32-48e5-903b-9559ffda06kb1' 


cinder.volume.flows.manager.create volume ... created successfully 


在 7.1.4 节 中 创建 了 cinder-volumes 卷 组 ,在 7.2.2 节 中 配置 了 Cinder 使 用 创建 的 卷 
组 。 作 为 Cinder 卷 创建 过 程 的 一 部 分 ， 从 cinder-volumes 卷 组 创建 了 一 个 逻辑 卷 。 在 代 
码 清单 7-20 中 ， 逻 辑 卷 命令 lvdi splay 用 来 显示 在 存储 斑点 的 逻辑 卷 。 


代码 清单 7-20 ”显示 逻辑 卷 





$ sudo lvdisplay 


-—— Logical volume 一 -一 


LV Name volume-a595d38f-5f32-48e5-903b-9559ffda06kb1l 


VG Name Cinder-volumes 
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LV Size 1.00 GiB 


在 代码 清单 7-20 中 ， 逻 辑 卷 (LV ) 名 称 volume-a595d38f-5f32-48e5-903b- 
9559ffda06b1 与 在 Cinder 卷 创 建 时 的 volume_name 匹配。 

对 于 创建 的 每 个 Cinder 卷 ， 都 相应 有 一 个 LVM 卷 被 创建 。 记 住 ， 可 以 在 LVM 和 系统 级 别 
来 追踪 Cinder 卷 问 题 。 下 一 市 将 会 使 用 OpenStack Dashboard 重复 这 个 过 程 。 两 种 方法 都 可 以 ， 
但 OpenStack 管理 员 经 常会 使 用 命令 行 ， 而 最 终 用 户 会 选择 Dashboard。 理 解 这 两 种 过 程 是 有 大 
助 的 。 





7.3.2 创建 Cinder 卷 : Dashboard 


在 第 5 草 已 经 部 署 了 OpenStack Dashboard。Dashboard 现在 应 该 可 以 通过 http://<controller 
address >/horizon 访问 。 以 用 户 名 admin 和 和 密 人 码 openstackl 登录 。 

一 旦 登录 到 Dashboard， 单 击 “Project” 栏 下 的 “Volumes”， 如 图 7-3 所 示 。 

在 “Volumes & Snapshots” 界 面 ， 单 击 “Create Volume” 按 钮 ， 如 图 7-4 所 示 。 





Project 
Gompute 
ve i SN 
We Volumes 8 Snapshots 
Instances Wolurmes 
1 Volumes 
Volumes 
LL Filter 中 Creais Volurme | 首 Dalete vames 
Images Attaeched Availability 
Name Doescription Size Stgtus Type Te on Actions 
hccess & Security Example 
Bhy First | Volurme: . 
Volumel OpenStack 13 Eror - We 
Network in Action 
Displaning 1 tam 
Admin 
7-3 Dashboard 工具 栏 7-4 “Volumes & Snapshots” 界 面 


在 “Create Volume” 界 面 ， 指 定 如 何 创 建 卷 。 在 第 5 草 已 经 添加 了 Cirros 0.3.2 镜像 到 
Glance。 不 像 前 面 的 命令 行 例子 ， 图 7-5 指定 Glance 镜像 Cirros 0.3.2 应 该 被 应 用 到 这 个 卷 。 
当 完 成 了 卷 的 定义 ， 单 击 此 界面 中 的 “Create Volume” 按 钮 。 

-日 提交 将 要 创建 的 卷 ， 将 会 回 到 “Volumes 多 Snapshots” 界 面 。 卷 创建 状态 将 会 在 这 个 页 
面 更 新 ( 见 图 7-6 )。 











is unacceptable: 


Create Volume 


Volume Name: * 


My First Volumel 


Description: 


Example Volume: OpenStack in Action 


Type: 


Size (GB}: * 


1 


Volume Source: 


Image 


Use image 35 a Source: 


Ciros 0.3.2 (12.6 MB) 


Availability Zone 


Any Availabilty Zone 


7-5 


Volumes 8 Snapshots 


7.3 


bla 


测试 Cinder 


Description: 


Volumes are block devices that can be attached to 


nstances 


Volume Limits 
Total Gigabytes (0 GB) 


Number of Volumes (0) 


“Create Volume” 界 面 


Volumes 
Volumes 
= a FiEer 中 Create Wokume 碎 Gasats Weimes 
Atiached Availability 
Narme Doescription Sizse Status The 全 one Actiors 
Example 
tt ya 1 日 Erer - Rorva | Dralate Wume 
in Action 
Displaying 1 item 
图 7-6” 卷 创建 销 误 





ERROR cinder.volume.flows.manager.create volume 


qemu-img is not installed and image is of type qcow2. 


Only RAW images can be used if gqemu-img is not installed. 
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发 生 了 什么 ?除了 指定 一 个 镜像 应 用 到 卷 ， 其 他 跟 在 命令 行 例子 中 完全 一 样 。 错 误 来 自 哪 
里 ” 最 好 是 查看 一 下 /vavlog/cindercinder-volume.log， 看 看 究竟 发 生 了 什么 : 


190 
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cinder-volume.log 里 面 的 ERROR 看 起 来 与 在 卷 创建 过 程 中 添加 指定 镜像 相关 。 安 装 
qemu-utils 软件 包 ， 如 代码 清单 7-21 所 示 ， 它 包含 了 镜像 转换 的 工具 。 





代码 清单 71-21 安装 镜像 管理 工具 
sudo apt-get install -~y gqemu-utils 
Cinder 卷 现 在 有 了 创建 一 个 卷 和 应 用 Glance 镜像 到 卷 的 所 有 工具 。 重 新 执行 本 节 的 步骤 。 
通过 镜像 创建 卷 的 过 程 应 该 可 以 成 功 完成 。 这 个 过 程 测试 了 Cinder 和 Glance 服务 。 





XX 小 结 


一 个 独立 的 物理 网 络 将 会 用 于 存储 传输 。 

有 很 多 三 商 搬 件 提供 多 种 类 型 的 存储 技术 。 

逻辑 卷 管理 虎 (LVM ) 是 Cinder 存储 插件 的 接口 。 

LVM 存储 池 将 会 被 Cinder 用 来 分 配 块 存储 。 

Linux SCSI target 框架 (tgt ) 用 来 作为 Cinder 分 配 块 存储 的 助手 。 
Glance 镜像 可 以 应 用 到 Cinder 卷 创 建 过 程 。 


图 ”在 计算 节点 安装 Open vSwitch ( OVS ) 

加 ”在 OpenStack 计算 节点 部 署 OpenStack 网 络 组 件 
图 ”在 计算 节点 整合 OVS 组 件 与 OpenStack 网 络 

图 ”设置 KVM 作为 OpenStack 计算 的 Hypervisor 

图 ”在 计算 节点 整合 OpenStack 计算 支持 组 件 














在 第 5 草 部 着 了 OpenStack 控制 带 市 态 ， 它 提供 了 OpenStack 服务 的 服务 带 闪 管理 。 在 第 6 
草 和 第 7 划 中 ， 为 网 络 和 存储 服务 部 车 了 独立 的 资源 节点 。 

本 革 将 会 部 署 男 外 一 个 独立 资源 市 点 来 消耗 存储 和 网 络 市 点 提供 的 资源 。 在 随后 开始 的 第 8 
章 ， 将 会 在 一 个 资源 节点 部 署 OpenStack 计算 服务 。 第 5 草 曾 经 介绍 过 的 多 节点 架构 ， 如 图 8-1 
所 示 ， 本 间 的 计算 组 件 显 示 在 图 的 中 下 部 。 

图 8-2 显示 了 手动 部 署 的 当前 进度 。 本 草 将 会 完成 手动 部 署 的 最 后 一 步 
力 (hypervisor、 网 络 等 )。 

首先， 准备 服务 磊 充 当 KVM hypervisor ( 虚拟 机 主机 )， 然 后 将 会 配置 OpenStack 来 管理 计 
算 资源 。 第 6 章 的 OVS、 第 7 章 的 LVM 和 第 8 章 的 KVM 之 间 的 关系 与 OpenStack 组 件 类 似 。 
OpenStack 作为 一 个 管理 框架 协调 这 些 资 源 管 理 融 。 在 本 章 中 ，OpenStack 计算 把 这 些 资源 关联 
起 来 创建 虚拟 机 。 

如 有 果 旋 者 之 前 已 经 操作 过 虚拟 化 环境 , 那么 本 章 介 绍 基础 概念 该 者 应 该 不 会 党 得 阳 生 。 事 实 
上 ， 如 果 该 者 曾经 部 署 过 虚拟 机 集群 ， 就 会 对 本 章 介 绍 的 hypervisor 步骤 熟悉 。 

本 草 是 手动 OpenStack 部 署 的 最 后 一 步 。 小 心 跟着 例子 操作 ， 记 住 OpenStack 计算 ( Nova) 
依赖 于 在 第 5 草 一 第 7 章 安 装 的 服务 。 如 采 在 那 几 章 的 服务 出 现 错误 ,根据 相应 章 广 的 描述 , 花 
费 一 些 时 间 确 保 这 些 服务 正 第 运 行 。 如 末 一 切 正常 运行 ， 才 可 以 开始 手动 部 昔 的 最 后 一 步 。 



































将 会 添加 计算 能 
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身份 认证 镜像 Dashboard 
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\ 计算 节点 为 虚拟 机 


提供 计算 资源 。 代 
码 在 这 里 执行 。 被 
OpenStack 管 理 的 
虚拟 机 运行 在 这 里 。 


图 8-1 多 市 上 各 染 构 


Xse 准备 计算 节点 的 部 署 环 境 


正如 本 书 第 二 部 分 的 所 有 章 一 样 ， 本 章 会 介绍 手动 安装 和 配置 依赖 及 OpenStack 核心 软 
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Keystone Clance Horizon 


全 一 /SO | 


身份 认证 镜像 Dashboard 











8-2 部 嗜 路 线 图 


小 心 进行 ”在 多 节点 环境 工作 增加 了 部 署 的 复杂 度 。 组件 或 依赖 配置 的 一 个 看 起 来 不 相关 的 很 小 
的 错误 ， 都 有 可 能 造成 非常 难以 排查 的 问题 。 仔 细 阅 读 每 节 ， 确 保 理 解 进 行 的 安 北 或 配置 。 


本 章 的 多 个 例子 都 包含 确认 步骤 ,， 恋 者 不 应 该 跳 过 这 些 步 又 。 如 果菜 个 配置 确认 失败 ， 旋 者 
应 该 回 退 到 前 面 的 确认 点 重新 开始 。 这 种 做 法 可 以 大 大 降低 用 户 的 挫败 感 。 


8.1.1 准备 环境 
除了 网 络 配置 外 , 环境 准备 跟 在 第 5 章 一 第 7 章 控 制 带 市 点 的 部 署 准 备 类 似 。 根据 讨论 的 说 
明 ， 确 保 注意 配置 中 的 网 络 接口 和 地 址 。 很 容易 手 误 ， 经 稼 导致 很 难 排查 出 这 些 问题 。 


8.1.2 配置 网 络 接口 


要 配置 的 网 络 有 以 下 两 种 接口 。 
图 蔬 点 接口 一 一 传输 与 OpenStack 不 直接 相关 。 这 个 接口 用 于 管理 性 任务 ， 如 SSH 终 疾 访 
问 、 软 件 更 新 和 节点 级 别 的 监控 。 
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图 ”内 部 接口 一 一 与 OpenStack 组 件 间 通信 相关 的 传输 。 包 括 API 和 AMQP 类 型 的 传输 。 
在 开始 配置 这 些 新 接口 前 ， 需 要 弄 清楚 系统 现 有 的 接口 。 


]1. 回顾 网 络 
代码 清单 8-1 所 示 的 命令 用 来 列举 系统 现 有 的 接口 。 


代码 清单 8-1 列举 接口 
$ ifconfig -a 
eml Link encap:Ethernet HWaddr b8:2a:72:d4:ff:88 
inet addr:10.33.2.53 Bcast:10.33.2.255 Mask:255.255.255.0 
inet6 addr: fe80::ba2a:72ff:fed4:ff88/64 Scope:Link 
UP BROADCAST RUNNING MULTICAST MIU:1500 Metric:1 


RX packets:60708 errors:0 dropped:0 overruns:0 frame:0 





TX packets:7142 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen:1000 
RX bytes:54254314 (54.2 MB) TX bytes:962977 (962.9 KB) 
Interrupt:35 
em2 Link encap:Ethernet HWaddr b8:2a:72:d4:ff:89 
BROADCAST MULTICAST MIU:1500 Metric:1 
RX packets:0 errors:0 dropped:0 overruns:0 frame:0 
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen:1000 
RX bytes:0 (0.0 B) TX pbytes:0 (0.0 B) 
Interrupt:38 


你 可 能 在 初始 化 安 竣 时 配置 过 市 点 接口 em1。 你 将 会 使 用 eml 接口 来 与 这 个 市 点 通信 。 奉 
看 一 下 另外 的 接口 em2。 在 本 书 的 示例 系统 中 ， 接口 em2 将 用 于 OpenStack 内 部 传输 。 

下 面 将 会 回顾 为 示例 节点 进行 的 网 络 配 置 ， 然 后 配置 控制 带 接 口 。 
2. 配置 网 络 


在 Ubuntu 系统 里 ,接口 配置 是 通过 文件 /etc/network/interfaces 来 维护 的 。 在 本 章 中 ， 我 们 将 
会 基于 表 8-1 中 和 斜体 表示 的 地 址 来 进行 配置 。 














表 8-1 网 络 地 址 表 


节 点 功 能 IP 地 址 
控制 器 公共 接口 /节点 地 址 eml 10.33.2.50/24 
控制 器 em2 192.168.0.50/24 
网 络 eml 10.33.2.51/24 
网 络 em2 192.168.0.51/24 
网 络 保留 ， 分 配给 OpenStack 网 络 
存储 eml 10.33.2.52/24 
存储 em2 192.168.0.52/24 
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ZE # 上 WD 10.33.2.53/24 
以 自 OpensStack 内 部 192.168.0.53/24 


为 了 修改 网 络 配 置 或 其 他 特权 配置 ， 必 须 使 用 sudo 特权 (sudo vi/etc/network/ 
interfaces )。 这 个 过 程 可 以 使 用 任何 文本 编辑 器 。 
如 代码 清单 8-2 所 示 修 改 接口 文件 。 





代码 清单 8-2 ”修改 接口 配置 /etc/network/interfaces 


# The loopback network interface 





auto lo 


iface lo inet loopback 


# The OpenStack Node Interface 9 接种 


auto eml 

iface eml inet static 
address 10.33.2.53 
netmask 255.255.255.0 
network 10.33.2.0 
broadcast 10.33.2.255 
gateway 10.33.2.1 
dns-nameservers 8.8.8.8 


dns—search testco .Com 


auto em2 


# The OpenStack Internal Interface 汪汪 接口 


iface em2 inet static 
address 192 .168.0.53 
netmask 255.255.255.0 


在 网 络 配置 中 ，eml 接口 @ 将 用 于 市 点 管理 ， 如 到 主机 服务 胡 的 SSH 会 话 。OpenStack 不 会 
直接 使 用 eml 接口 。em2 接口 人 @ 主 要 用 于 资源 市 点 和 控制 帮 之 间 的 AMQP 和 API 传输 。 

现在 应 该 刷新 网 络 接口 设置 使 更 改 的 配置 生效 。 如 果 没 有 改变 主 接口 的 设置 , 在 刷新 后 就 不 
会 出 现 连接 中 断 。 如 果 改 变 了 主 接口 的 地 址 ， 应 该 现在 就 重启 服务 器 。 

可 以 为 特定 的 接口 刷新 网 络 配置 ， 如 代码 清单 8-3 所 示 刷 新 了 em2 接口 配置 。 











代码 清单 8-3 ”刷新 网 络 设置 
sudo ifdown em2 && sudo ifup em2 
从 操作 系统 的 角度 来 看 ， 这些 网 络 配置 现在 应 该 生效 了 。 接口 会 基于 配置 自动 上 线 。 这 个 过 
程 可 以 对 每 个 需要 刷新 配置 的 接口 重复 进行 。 














为 了 确认 配置 生效， 应 该 再 次 检查 接口 以 查看 配置 情况 ， 如 代码 清单 8-4 所 示 。 





196 第 8 章 ， 计算 市 点 部 署 


代码 清单 8-4 检查 网 络 的 更 新 





$ifconfig -a 

eml Link encap:Ethernet HWaddr b8:2a:72:d4:ff:88 
inet addr:10.33.2.53 Bcast:10.33.2.255 Mask:255.255.255.0 
inet6 addr: fe80::ba2a:72ff:fed4:ff88/64 Scope:Link 
UP BROADCAST RUNNING MULTICAST MIU:1500 Metric:1 
RX Packets:61211 errors:0 dropped:0 overruns:0 frame:0 
TX packets:7487 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen:1000 
RX bytes:54305503 (54.3 MB) TX bytes:1027531 (1.0 MB) 
Interrupt:35 


em2 Link encap:Ethernet HWaddr b8:2a:72:d4:ff:89 
inet addr:192.168.0.53 Bcast:192.168.0.255 Mask:255.255.255.0 
inet6 addr: fe80::ba2a:72ff:fed4:ff89/64 Scope:Link 
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 
RX packets:4 errors:0 dropped:0 overruns:0 frame:0 
TX packets:8 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen:1000 
RX bytes:256 (256.0 B) TX bytes:680 (680.0 B) 
Interrupt:38 


现在 应 该 可 以 远程 访问 网 络 服务 檀 , 而 且 这 个 服务 可 应 该 可 以 访问 互联 网 。 后 续 的 安 己 可 以 
直接 在 控制 台 或 者 使 用 SSH 远程 执行 。 


8.1.3 更 新 安 淡 包 


正如 前 面 章节 所 述 , APT 包 索 引 是 被 /etc/apt/sources.list 文件 中 远程 日 录 定 义 的 所 有 可 用 包 的 
数据 库 。 要 确保 本 地 的 数据 库 与 指定 的 Linux 发 行 版 最 新 可 用 的 安装 包 库 同步 。 在 安 汶 前 ,需要 
先 升级 所 有 库 项 目 , 包括 Linux 内 核 , 因为 内 核 也 可 能 不 是 最 新 的 。 更 新 和 升级 包 如 代码 清单 8-5 
所 示 。 











代码 清单 8-5 ”更 新 和 升级 安装 包 





sudo apt-get ~y update 
sudo apt-get -~y upgrade 





现在 需要 重 局 服务 希 刷 新 任何 可 能 改变 的 包 或 配置 ， 如 代码 清单 8-6 所 示 。 
代码 清单 8-6 ”重启 服务 器 





sudo reboot 


8.1.4 软件 和 配置 依赖 


本 节 将 会 安装 一 些 软件 依赖 和 做 一 些 配置 上 的 改变 ， 为 后 续 的 OpenStack 组 件 安装 做 好 
准备 。 
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服务 器 到 路 由 器 的 配置 


OpenStack 管理 资源 用 于 提供 虚拟 机 。 其 中 一 种 资源 就 是 网 络 ， 被 虚拟 机 用 来 与 其 他 虚拟 或 
物理 机 融通 信 一 一 第 6 草 部 署 的 OpenStack 网 络 。 为 了 让 OpenStack 计算 使 用 OpenStack 网 络 提 
供 的 资源 ， 必 须 配 置 Linux 内 核 允 许 网 络 流量 转移 给 OpenStack 网 络 。 

sysct1l 命令 用 于 修改 内 核 参数 ， 如 那些 跟 基 本 网 络 功能 相关 的 。 用 户 需要 使 用 这 个 工具 对 
内 核 设 置 做 一 些 修 改 。 

在 第 6 草 中 , 已 经 配置 了 OpenStack 网 络 太 点 作为 路 由 希 ， 以 及 在 虚拟 和 物理 接口 之 间 转 发 


Vs 量 . 
EC 量 。 


对 于 OpenStack 计算 节点 ， 不 需要 做 这 样 的 配置 ， 因 为 OpenStack 网 络 会 提供 这 些 服 务 。 但 
还 是 需要 修改 配置 以 允许 Linux 内 核对 传输 转发 进行 转移 。 

正如 第 6 章 所 述 (6.1.4 万 的 “服务 天 到 路 由 融 的 配置 ”小 节 )， 反 向 路 径 过 滤 的 引入 是 用 来 
限制 DDOS 攻击 造成 的 影响 。 默 认 情 况 下 ,， 如果 Linux 内 核 不 能 决定 数据 包 的 源 路 由 ,这 个 包 就 
会 被 丢弃。 用 户 必 须 配 置 内 核 禁 用 反 癌 路径 过 滤 ， 让 OpenStack 来 进行 路 径 管 理 。 

在 OpenStack 计算 市 点 应 用 代码 清单 8-7 所 示 的 设置 。 








I ENE Re 
net .ipv4.conf.all.rp_filter=0 -二 一 对 所 有 现 有 的 接口 禁用 反问 路 径 过 滤 








net .ipv4.conf.default.rp_filter=0 ES 对 所 有 未 来 的 接口 禁用 反 癌 路径 过 滤 


通过 执行 sysct1 -P 命令 可 以 确保 sysct1l 内 核 更 改 生效 而 不 用 重启 服务 侣 ， 如 代码 清 
单 8-8 所 示 。 


代码 清单 8-8 ”执行 syscti 命令 
$ sudo sysctl1 -p 





net.ipv4.conf.all.rp_filter = 0 
net .ipv4.conf.default.rp_filter = 0 


现在 反 向 路 径 过 滤 在 内 核 级 别 被 禁用 了 。 
下 一 节 将 会 使 用 Open vSwitch 包 为 节点 增加 高 级 网 络 功 能 。 





8.1.5 ”安装 Open vSwitch 


OpenStack 计算 利用 了 开源 分 布 式 虚拟 交换 软件 包 Open vSwitch ( OVS )。OVS 提供 了 跟 物 
理 交 换 机 (端口 A 到 端口 B 的 L2 流量 会 交换 到 闻 口 B ) 相同 的 数据 交换 功能 , 但 它 是 通过 服务 
器 上 的 软件 实现 的 。OVS 还 用 来 作为 OpenStack 计算 节点 和 OpenStack 网 络 节 点 间 的 隧道 传输 的 
路 由 和 其 他 L3 服务 。 从 网 络 交 换 的 角度 来 看 ,本 书 的 例子 只 会 使 用 OVS 交换 平台 。 更 多 大 于 交 
换 机 如 何 工作 的 内 容 ， 可 以 查看 6.1.5 节 中 “交换 机 做 什么 ”部 分 。 

现在 有 一 台 服 务 器 可 以 作为 交换 机 ( 通过 Linux 网 络 桥接 ),。 现在 将 会 通过 OVS 的 安装 为 服 
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务 骨 增加 高 级 交换 功能 。 独 立 网 络 提 供 商 提供 了 OVS 苑 和 争 对 于 提供 的 交换 功能 。 
通过 代码 清单 8-9 所 示 的 谷 令 ， 可 以 把 服务 带 变 成 局 级 交换 机 。 


代码 清单 8-9 安装 OV9 





$ sudo apt-get ~y install openvswitch-switch 


Setting up openvswitch-common ... 
Setting up openvswitch-switch ... 


openvswitch-switch start/running 


安装 Open vSwitch 的 过 程 会 安装 一 个 新 的 OVS 内核 模块 。 另外 ,OVS 内 核 模块 将 引用 和 加 
载 额 外 必要 的 内 核 模块 (GRE、VXLAN 等 ) 来 构建 网 络 履 盖 。 

用 户 必 须 完全 确保 Open vSwitch 内 核 模块 被 加 载 。 可 以 使 用 1smod 命令 ， 如 代码 清单 8-10 
所 示 来 确认 OVS 内 核 模 块 被 加 载 。 








代码 清单 8-10 ”验证 OVS 内 核 模块 


$ sudo lsmod | grep openvswitch 
Module Size Used by 
openvswitch 66901 0 
gre 13796 1 openvswitch 
vxlan 37619 1 openvswitch 
libcrc32c 12644 1 openvswitch 


lsmod 命令 的 输出 应 该 显示 几 个 与 OVS 相关 的 内 置 模块 . 
它 是 OVS 模块 本 里 。 该 模块 提供 内 核 和 OVS 服务 之 间 的 接口 。 





国 openvswitch 
图 gre 一 一 被 openvswitch 模块 使 用 ， 在 内 核 级 别提 供 GRE 功能 。 
图 vxlan 一 一 跟 gre 模块 类 似 ，vxlan 在 内 核 级 别提 供 VXLAN 功能 。 
国 ]ibcrc32c 为 循环 元 余 码 校 验 (Cyclic Redundancy Check，CRC ) 算法 提供 内 核 级 
别 的 支持 ， 包 括 使 用 Intel 的 CRC32C CPU 指令 集 进 行 硬 件 转移 ( hardware offloading )。 
便 件 转移 对 网 络 流散 列 和 其 他 网 络 尖 部 与 数据 帧 常见 的 CRC 功能 的 高 性 能 运算 很 重要 。 
有 了 GRE 和 VXLAN 在 内 核 级 别 的 支持 ， 意 味 着 用 来 创建 覆盖 网 络 的 传输 可 以 被 系统 内 核 
和 相关 Linux 网 络 子 系统 识别 。 
如 采用 户 认为 内 核 模 块 应 该 已 经 加 载 , 但 还 没 看 到 , 那么 重启 系统 再 看 看 它 是 否 在 重启 后 加 
载 。 恋 者 还 可 以 查阅 6.1.5 节 中 “没有 内 核 模 块 的 支持 ?使 用 DKMS 来 的 救 !” 部 分 。 另 外 ， 可 
以 尝试 使 用 命令 modprobe openvswitch 来 加 载 内 核 模 块 。 如 采 出 现任 何 与 加 载 OVS 内 核 模 
块 相关 的 错误 ， 束 检查 内 核 日 志 /var/log/kern/log。 如 果 OVS 没有 合适 的 内 置 的 内 核 模块 ， 那 么 
所 有 期 望 的 功能 都 不 能 实现 。 























8.1.6 配置 OpenVvSwitch 
现在 需要 添加 一 个 内 部 的 OVS 网 桥 br-int。 
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pr-int 网 桥接 口 将 会 用 于 Neutron 管理 的 网 络 的 内 部 通信 。 在 OpenStack Neutron 创建 的 内 
部 网 络 中 沟通 的 虚拟 机 (不 要 跟 操 作 系统 级 别 的 内 部 接口 混 消 ) 将 会 使 用 这 个 网 桥 通信 。 配 置 内 
部 OVS 网 桥 如 代码 清单 8-11 所 示 。 





代码 清单 8-11 配置 内 部 OVS 网 桥 


sudo ovs-vsctl1 add-pbr br-int 





现在 同样 需要 确认 这 个 网 桥 是 否 被 成 功 添加 到 OVS， 是 否 可 以 被 底层 的 网 络 子 系统 感知 。 
可 以 通过 代码 清单 8-12 所 示 的 命令 显示 OVS 配置 。 


代码 清单 8-12 显示 OVS 配置 
Sudo ovs-vsctl1 Show 
ff149266-a259-4baa-9744-60e7680b928d 
Bridge br-int 
Port br-int 


Interface br-int 





type: internal 


OVS_ Vversion: "72.0.2" 


现在 已 经 确认 在 OVS 配置 了 br-int，, 确保 可 以 在 操作 系统 级 别 看 到 网 桥接 口 。 验 证 OVS 
操作 系统 整合 如 代码 清单 8-13 所 示 。 





代码 清单 8-13 ”验证 OVS 操作 系统 整合 


$ ifconfig -a 


br-int 网 桥 
br—-int 


Link encap:Ethernet HWaddr c6:6a:73:f4:5f:41 
BROADCAST MULTICAST MIU:1500 Metric:1 


RX packets:0 errors:0 dropped:0 overruns:0 frame:0 





TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen:0 
RX bytes:0 (0.0 B) TX pbytes:0 (0.0 B) 


eml Link encap:Ethernet HWaddr b8:2a:72:d5:21:c3 
inet addr:10.33.2.53 Bcast:10.33.2.255 Mask:255.255.255.0 
inet6 addr: fe80::ba2a:72ff:fed5:21c3/64 Scope:Link 
UP BROADCAST RUNNING MULTICAST MIU:1500 Metric:1 
RX packets:13483 errors:0 dropped:0 overruns:0 frame:0 
TX packets:2763 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen:1000 
RX bytes:12625608 (12.6 MB) TX bytes:424893 (424.8 KB) 
Interrupt:35 


9 ovs-systenm 接口 
ovs-Ssystem 


Link encap:Ethernet HWaddr 96:90:8d:92:19:ab 
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BROADCAST MULTICAST MIU:1500 Metric:1 

RX packets:0 errors:0 dropped:0 overruns:0 frame:0 
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen:0 

RX bytes:0 (0.0 B) TX pbytes:0 (0.0 B) 


注意 接口 列表 增加 的 br-int 网 桥 国 。 新 的 网 桥 将 会 彼 OVS 和 Neutron OVS 模块 用 于 内 部 
和 外 部 传输 。 为 外 ，ovVs-system 接口 全 也 被 添加 , 它 是 OVS 的 datapath 接口 , 但 不 用 担心 
要 使 用 这 个 接口 ， 它 只 是 一 个 简单 的 Linux 内 核 整 合 的 伪 接 口 。 然 而 ， 这 个 接口 的 出 现 表 明了 
OVS 内 核 模块 是 正常 运行 的 。 

现在 有 了 可 操作 的 OVS 部 署 和 网 桥 。 如 第 6 章 中 的 介绍 ,br-int( 内 部 ) 网 桥 将 会 被 Neutron 
用 来 添加 虚拟 接口 到 网 桥 。 这 些 虚 拟 接口 将 在 网 络 和 计算 节点 之 间作 为 GRE 隧道 的 端点 使 用 。 
这 个 内 部 网 桥 不 需要 关联 到 物理 接口 或 者 给 它 一 个 操作 系统 级 别 的 “UP” 状 态 来 工作 。 

回顾 一 下 在 第 6 草创 建 的 OVS 网 桥 br-ex。 这 个 网 桥 用 来 连接 OVS 和 关联 的 OpenStack 
网 络 节 点 的 物理 ( 外 部 ) 接口 及 网 络 。 这 一 步 在 OpenStack 计算 节点 不 需要 ， 因 为 外 部 流量 (不 
是 指定 的 源 市 点 的 流量 ) 会 发 送 到 OpenStack 网 络 。 

现在 可 以 准备 在 OpenStack 计算 节点 配置 hypervisor。 











Xae 安装 涩 到 站 


正如 上 文 所 述 ， 在 OpenStack 下 有 多 种 hypervisor 其 至 容 磊 可 以 选择 。 由 于 它 的 流行 程度 ， 
我 们 将 会 使 用 KVM hypervisor。 在 初始 安装 后 ，KVM 将 会 被 Nova、Neutron 和 Cinder 管理 。 


8.2.1 验证 作为 hypervisor 平台 的 主机 

首先 需要 确认 硬件 上 的 CPU 虚拟 化 扩展 功能 可 用 和 已 经 启用 。 有 一 个 名 为 cpu-checker 的 很 
好 的 工具 可 以 检查 能 被 KVM 使 用 的 扩展 功能 的 状态 。 可 以 使 用 这 个 工具 来 验证 作为 hypervisor 
平台 的 主机 ， 如 代码 清单 8-14 所 示 。 














代码 清单 8-14 ”验证 处 理 器 虚拟 化 扩展 


$ sudo apt-get install cpu-checker 


Setting up cpu-checker (0.7-O0ubuntul) ... 


$ sudo kvm-ok 
INFO: /dev/kvm exists 


KVM acceleration can be used 


虚拟 硬件 扩展 ”虚拟 化 扩展 提供 的 硬件 辅助 让 完全 隔离 的 虚拟 机 在 很 多 工作 负载 上 可 以 有 接近 
原生 的 速度 。 没 有 这 个 扩展 ，hypervisor 的 CPU 密集 型 功能 必须 由 软件 执行 ， 整 个 系统 的 性 能 会 
大 打折 把 。 不 推荐 在 OpenStack 计算 使 用 不 支持 KVM 加 速 的 硬件 。 
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如 果 收 到 的 信息 是 “INFO: Your CPU does not support KVM extensions”， 仍 然 可 以 运行 
OpenStack, 不 过 hypervisor 的 性 能 会 非常 差 。 虚拟 化 扩展 为 hypervisor 提供 人 硬件 辅助 来 进行 处 理 
天 迁移 、 优 先 级 管理 和 内 存 处 理 。 

如 果 收 到 的 信息 是 “KVM acceleration can NOT be used”, 并 且 没有 前 面 的 警告 , 那么 处 理 需 
可 能 支持 虚拟 化 扩展 ， 但 扩展 也 许 没 有 在 BIOS 启用 。 确 认 处 理 器 模型 支持 扩展 和 检查 BIOS 关 
于 虚拟 化 扩展 的 设置 。 








检查 处 理 怖 扩展 


男 一 个 判断 硬件 加 速 能 力 的 方法 是 检查 处 理 器 扩展 在 Linux 内 核 的 报告 。 使 用 下 面 的 命令 : 
Ee a | ne ea 

如 果 命 令 执 行 的 结果 大 于 0， 说 明 硬 件 支持 加 速 。 

这 个 方法 列举 在 OpenStack 文档 中 。 


下 一 步 ， 将 会 安装 KVM 和 Libvirt 包 。 


8.2.2 使 用 KVM 

在 安装 KVM 之 前 ， 快 速 回 顾 一 下 这 些 将 要 安装 的 组 件 。 

国 Libvirt 这 是 一 个 用 来 在 操作 系统 和 API 层面 控制 多 种 hypervisor 的 管理 层 。 

国 QEMU (快速 模拟 ，Quick Emulator ) QEMU 是 一 个 完全 硬件 虚拟 化 平台 〈 主机 监视 
希 )。 全 虚拟 化 意味 看 QEMU 能 够 通过 软件 模拟 硬件 设备 甚至 跨越 多 个 文 持 架构 平台 的 
处 理 套 。 

国 KVM (基于 内 核 的 虚拟 机 ，Kernel-based Virtual Machine ) 一 一 KVM 本 身 不 执行 硬件 的 
模拟 。KVM 是 一 个 Linux 内 核 模块 ,下 接 与 处 理 可 具体 的 虚拟 化 扩展 交互 来 暴露 标准 的 
\dev\kvm 设备 。 这 个 设备 被 主机 监视 带 (如 QEMU ) 使 用 ， 作 为 模拟 功能 的 硬件 转移 。 

















KVM 是 什么 “ 当 你 听 到 有 人 说 他 们 正在 使 用 KVM， 事 实 上 他 们 正在 使 用 KVM 进行 虚拟 化 指定 
硬件 的 转移 ， 利 用 QEMU 进行 设备 模拟 。 当 KVM 扩展 不 可 用 时 ，QEMU 会 回 到 软件 模拟 ， 虽 
然 这 样 会 比较 慢 ， 但 还 是 可 以 工作 。 
除非 特别 指出 ， 本 书 涉及 的 Libvirt、QEMU 和 KVM 软件 套件 统称 为 KVM。 

1. 安装 KVM 软件 


现在 可 以 使 用 apt-get 来 安装 KVM 以 及 它 的 相关 包 ， 如 代码 清单 8-15 所 示 。 


代码 清单 8-15 ”安装 KVM 软件 





$ sudo apt-get ~y install demu-kvm libvirt-bin 
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libvirt-bin start/running, process 13369 
Setting up libvirt-bin dnsmasgq configuration. 


Setting up demu-kvm (2.0.0+dfsg-2ubuntul.3) ... 


KVM 现在 应 该 已 经 安 罕 到 系统 中 ， 内 核 模块 应 该 被 加 载 了 。 
2， 验证 加 载 的 KVM 内 核 模 块 


现在 KVM 套件 已 经 ， 必 须 验 证 Intel- 或 AMD- 具 体内 核 模块 加 载 了 。 如 果 KVM 扩展 模 
块 没 有 加 载 ，QEMU a 性 能 会 下 降 。 验 证 KVM 加 速 如 代码 清单 8-16 所 示 。 








代码 清单 8-16 ”验证 KVM 加 速 
$sudo lsmod|grep kvm 
kvm_ intel 132891 0 
kvm 443165 1 kvm intel 


如 果 看 不 到 列举 的 kvm_intel 或 kvm_amqd， 那么 说 明 处 理 带 具体 KVM 扩展 模块 没有 被 
加 载 。 
3. 加 载 KVM 扩展 模块 


如 果 幸 运 的 话 , 可 以 跳 过 这 一 步 ,。 但 是 , 如 果 KVM 模块 没有 出 现在 前 面 代 码 清 单 8-16 所 示 
的 输出 中 ， 就 要 如 代码 清单 8-17 所 示 进 行 操 作 。 





代码 清单 8-17 ” 印 载 和 重新 加 载 KVM 内 核 扩 展 


$ sudo modprobe -+ kvm_ intel pe 二 
时 k d 
$ sudo modprobe -r kvm PT 如 果 你 使 用 AMD 处 理 各 ， 束 使 用 kvm_am 


$ sudo modprobe -v kvm intel 
insmod /lib/modules/<kernel version>/kernel/arch/x86/kvm/kvm.ko 


insmod /lipb/modules/<kernel version>/kernel/arch/x86/kvm/kvm-intel.ko nested=1 


4. 验证 KVM 加 速 的 QEMU 环境 
现在 可 以 检查 以 确保 有 一 个 功能 正常 的 KVM 加 速 的 QEMU 环境 ， 如 代码 清单 8-18 所 示 。 





代码 清单 8-18 ”验证 libvirtyqemu/kvm 的 可 用 性 


$ sudo virsh --connect gqemu:///system capabilities 


<capabilities> 


<host> 
<uuid>44454c4c-5700-1035-8057-b8c04f583132</uuid> 
<cpu> 
<arch>x86_64</arch> 
<model>SandyBridge</model> 


<vendor>Intel</vendor> 


[= 


以 
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<domain type="'kvm'> 


<emulator>/usr/bin/kvm-spice</emulator> 


</capabilities> 


如 果 连 接 时 过 到 像 “Error: Failed to connect socket to /var/run/libvirt/libvirt-sock” 这 样 的 错误 ， 
重启 服务 如 。 如 果 重 启 也 不 能 解决 这 个 问题 ， 那 么 检查 位 于 /var/log/libvirt/libvirtd.conf 的 
i i ete | 日 志 。 libvirtg 服务 依赖 的 daubs 服务 可 能 需要 重启 。 
如 果 问 题 还 没有 解决 ， 那 么 检查 syslog 寻找 可 能 失败 的 依赖 。 


清理 KVM 网 络 


因为 将 会 使 用 OpenStack 网 络 ( Neutron ) 来 管理 网 络 ， 所 以 需要 移 除 KVM 安装 过 程 中 自动 
生成 的 默认 网 桥 ， 如 代码 清单 8-19 所 示 。 


代码 清单 8-19 ” 移 除 KVM 默认 虚拟 网 桥 
$sudo virsh net-destroy default 
Network default destroyed 





$ sudo virsh net-undefine default 


Network default has been undefined 


现在 有 了 Libvirt 提供 API 级 别 支持 的 KVM 便 件 加 速 的 QEMU 环境 .OpenStack1i 人 算 ( Nova) 
将 会 使 用 这 些 软 件 堆栈 组 件 来 运行 计算 环境 。 


XX 在 计算 节点 安装 好 YL 


本 诈 将 会 为 计算 市 点 安装 和 配置 Neutron 组 件 。 这 些 步骤 只 包含 6.2 市 的 一 部 分 。 对 于 一 个 
OpenStack 计算 节点 ， 只 需要 安装 和 配置 跟 ML2 插件 和 OVS 代理 相关 的 软件 包 。OpenStack 网 
络 市 点 会 完成 余下 的 功能 。 





8.3.1 安装 Neutron 软件 
过 代码 清单 8-20 所 示 的 apt-get 安装 Neutron 软件 。 


代码 清单 8-20 安装 Neutron 软件 


$ sudo apt-get -~y install neutron-common \ 





neutron-plugin-ml2 neutron-plugin-openvswitch-agent 


Setting up neutron-common (1:2014.1.2-0ubuntul.1) ... 

Adding System user ‘neutron' (UID 108) ... 

Adding new user ‘neutron' (UID 108) with group ‘neutron' ... 
Not creating home directory ‘/var/lib/neutron'. 


Setting up neutron-plugin-ml2 (1:2014.1.2-0ubuntul.1) ... 
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Setting up neutron-plugin-openvswitch-agent (1:2014.1.2-O0ubuntul.1) 


8.3.2 ”配置 Neutron 


下 一 步 是 配置 。 首 先 ， 必 须 修 改 文件 /etc/neutron/neutron.conf 来 定义 服务 认证 、 管 理 通信 、 
核心 网 络 搬 件 和 服务 策略 。 另 外 ， 还 要 提供 配置 和 凭证 来 允许 Neutron 客户 端 实 例 与 第 $ 草 部 署 
的 Neutron 控制 问 通 信 。 修 改 文件 /etc/neutron/neutron.conf 如 代码 清单 8-21 所 示 。 








代码 清单 8-21 修改 /etc/neutron/neutron.conf 





[DEFAULT] 
verbose = True 


auth_ strategy = keystone 


rpc_ backend = neutron.openstack.common.rpc.impl_ kombu 
rabbit_ host = 192.168.0.50 


rabbit_ password = openstackl 


core_ plugin = neutron.plugins .ml2.plugin.Ml2Plugin 
allow_overlapping_ips = True 


service plugins = router,firewall,lbaas,vpnaas,metering 


[keystone authtokenl] 

auth url = http://10.33.2.50:35357/v2.0 
admin tenant name = service 

admin password = openstackl 

auth protocol = http 


admin user = neutron 


[databasel] 
connection = mysql://neutron dbu:openstack1l@192.168.0.50/neutron 


现在 核心 Neutron 组 件 已 经 配置 好 ,还 必须 配置 Neutron ML2 插件 , 它 将 提供 OVS 和 1L2 服 
务 的 整合 。 





8.3.3 配置 Neutron ML2 插件 
Neutron OVS 代理 允许 Neutron 控制 OVS 交换 机 。 


Neutron 配置 在 /etc/neutron/plugins/ml2/ml2_conf.ini 文件 里 ， 如 代码 清单 8-22 所 示 。 我 们 将 
提供 数据 库 信息 和 ML2 具体 交换 配置 。 





代码 清单 8-22 ”修改 /etc/neutron/plugins/ml2/ml2_contf.ini 


[m12] 

type_drivers = gre 

tenant network types = gre 
mechanism drivers = openvswitch 


[m1l2_type_grel 
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tunnel id ranges = 1:1000 


[ovs ] 
local_ ip = 192.168.0.53 
tunnel type = gre 


enable tunneling = True 


[securitygroup] 
firewall driver = 
neutron.agent .linux.iptables_firewall.OVSHybridiptablesFirewallDriver 


enable_security_group = True 


现在 已 完成 Neutron ML2 插件 的 配置 。 清 理 日 志文 件 ， 然 后 重启 服务 : 


sudo rm /var/log/neutron/openvswitch-agent.1log 


sudo service neutron-plugin-openvswitch-agent restart 


现在 Neutron ML2 插件 代理 的 日 志 应 该 看 起 来 如 下 : 


Logging enabled! 
Connected to AMOP server on 192.168.0.50:5672 


Agent initialized 





successfully, now running... 


现在 已 经 把 OSI L2 Neutron 和 OVS 整合 在 一 起 。 没 有 其 他 OpenStack 网 络 配置 需要 在 
OpenStack 计算 市 点 上 进行 。 下 一 市 将 会 安装 具体 Nova 软件 包 。 














XX 在 计算 节点 安装 妇 j 咯 


本 节 将 会 在 计算 节点 安装 和 配置 Nova 组 件 。Nova 组 件 不 只 是 控制 KVM hypervisor， 还 把 
其 他 OpenStack 服务 连接 到 一 起 ， 协 调 局 动 虚拟 机 实例 需要 的 资源 。 





8.4.1 安装 Nova 软件 
过 代码 清单 8-23 所 示 的 apt-get 命令 安装 Nova 软件 组 件 。 


代码 清单 8-23 安装 Nova 计算 软件 





$ sudo -~-y apt-get install nova-compute-kvm 


Adding user ‘nova' to group libvirtd' 

Adding user nova to group libvirtd 

Done. 

Setting up nova-compute-kvm (1:2014.1.2-O0ubuntul.1) 
Setting up nova-compute (1:2014.1.2-0ubuntul.1) 


现在 在 计算 节点 上 安装 了 所 有 的 Nova 软件 组 件 。 





206 第 8 章 ， 计算 节 点 部 署 


8.4.2 ”配置 核心 Nova 组 件 


下 面 的 配置 是 安装 过 程 中 最 关键 的 地 方 之 一 。 参 考 OpenStack 其 他 核心 服务 ， 添 加 配置 到 
/etc/nova/nova.conf 文件 。 添 加 代码 清单 8-24 所 示 的 配置 到 现 有 的 文件 。 








代码 清单 8-24 ”修改 /etc/nova/nova.conf 


[DEEAULT ] 
auth_ strategy = keystone 


rpc_ backend = rabbit 
rabbit_host 192.168.0.50 


rabbit_ password = openstackl 


my_ip = 192.168.0.5 


计算 节点 的 地 址 
vnc_enabled = True 二 一 一 一 一 
vncserver_ listen = 0.0.0.0 、 二 下 
> 计算 节点 代理 的 地 址 
vncserver proxyclient address = 192.168.0.53 一 Le 代 


novncproxy_base url = http://10.33.2.50:6080/vnc_auto.html 


neutron_ region name = RegionOne 


auth strategy=keystone 


network_api_class = nova.network.neutronv2.api.API 

neutron url = http://192.168.0.50:9696 

neutron auth strategy = keystone 一 Neutron 控制 带 的 URL 
neutron admin tenant_ name = service 

neutron admin username = neutron 

neutron admin password = openstackl 

neutron admin auth url = http://192.168.0.50:35357/v2.0 

linuxnet_ interface driver = nova.network.linux net .LinuxOVSInterfaceDriver 
firewall driver = nova.virt.firewall.NoopFirewallDriver 
security_group_api = neutron 

neutron metadata proxy_shared secret = openstackl 

service neutron metadata proxy = true 


glance_host = 192.168.0.50 


[libvirt] 
Virt type = kvm 


[databasel] 
connection = mysql://nova_ dbu:openstack1@192.168.0.50/nova 
[keystone authtokenl] 
auth url = http://10.33.2.50:35357/v2. 

Keystone 服务 的 URL 
admin tenant name = service 7 7 服务 的 
admin password = openstackl 


auth protocol = http 
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admin user = nova 


Nova 配置 现在 已 经 完成 。 清 理 日 志文 件 ， 然 后 重启 服务 : 





sudo rm /var/log/nova/nova-compute.1log 


sudo service nova-compute restart 


Nova 计算 日 志 看 起 来 应 该 跟 下 面 类 似 : 


Connected to AMOP server on 192.168.0.50:5672 








Starting compute node (version 2014.1.2) 
Auditing locally available compute resources 
Free ram (MB): 96127 

Free disk (GB): 454 

Free VCPUS: 40 


Compute_service record updated for compute:compute.testco.com 


现在 nova-compute 服务 正常 运行 ,没有 其 他 OpenStack 计算 配置 需要 在 这 个 节点 上 进行 。 
下 一 将 会 验证 配置 。 

















8.4.3 Horizon 


在 第 5 章 已 经 部 署 了 OpenStack Dashboard。Dashboard 现在 应 该 可 以 通过 http://<public 
controller i 问 。 以 用 户 名 admin 和 密码 openstackl 登录 ,确保 OpenStack 
计算 组 件 出 现在 Dashboard 上 。 

一 旦 登录 到 Dashboard， 在 左边 工具 栏 里 选择 “Admin” 标 签 。 然 后 ， 单 击 “System Info” 
并 查看 “Compute Services” 标 签 下 的 内 容 ， 应 该 看 起 来 如 图 8-3 所 示 。 注 意 在 compute 主机 上 
的 nova-compute 服务 的 添加 。 











System Info 


Compute Services 


Compute Services \ QI Lm 
Name Host Zone Status State Updated At 
nova-cert controlier internal enabled up 0 minutes 
nova-cConductor Controller internal enabled UP 0 minutes 
nova-consoleauth controller intermal enabled up 0 minutes 
nova-scheduler controller internal enabled up 0 minutes 
nova-compute compute nova enabled up 0 minutes 


Displaying 5 items 


8-3 Dashboard 系统 信息 
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现在 ， 再 次 从 “Admin” 标 签 开 始 ， 单 击 “Hypervisors”。 “Hypervisors” 界 面 看 起 来 应 该 如 


Hypervisors 图 8-4 所 不 。 

剖面 小 节 添 加 的 计算 节点 应 该 显示 在 
VCPUs VcpUs RAM RAM | _ 
Hostname Type ltota) (used) (total) (used) 列举 的 Hypervisors 下 。 图 8-4 中 显示 了 名 
compute testco.com QEMU 40 0 94GB 512MB 为 compute 的 计算 节点 .本章 的 这 些 步 又 
Displaying 1 item 可 以 重复 来 添加 额外 的 OpenStack 计算 市 
点 到 你 的 手动 部 车 中 ; 当然 ， 需 要 修改 网 
8-4 Dashboard hypervisor 总 览 络 地 址 ， 但 其 他 过 程 是 一 样 的 。 





有 很 多 OpenStack 核心 和 贱 化 组 件 没 有 在 本 书 这 部 分 介绍 , 但 有 了 对 这 个 框 染 的 认 知 , 读者 
应 该 有 能 力 探索 额外 的 组 件 ， 甚 至 贡献 目 己 的 组 件 。 
如 果 一 切 按 预期 运行 ， 现 在 可 以 继续 下 一 市 ， 测 试 完整 的 部 署 。 


XX 测试 克 路 
现在 已 经 安装 好 了 创建 一 个 虚拟 机 需要 的 所 有 OpenStack 组 件 。 本 节 介 绍 使 用 命令 行 工具 创 
建 一 个 实例 。 


创建 一 个 实例 ( 虚拟 机 ): 命令 行 

为 了 使 用 nova 命令 ， 需 要 提供 应 用 程序 认证 凭证 ， 包 括 一 个 认证 地 址 。 可 以 把 赁 证 信息 设 
置 为 shell 变量 的 一 部 分 ， 或 者 通过 命令 行 参数 将 信息 传递 给 应 用 。 为 了 提供 创建 实例 过 程 的 详 
细 信 息 ， 这 里 的 例子 将 会 使 用 命令 行 参数 。 

代码 清单 8-25 显示 了 如 何 列 举 aqmin 租户 里 的 所 有 Nova 实例 。 跟 着 例子 ， 虽然 知 道 现 在 
还 没有 实例 。 这 一 步 确 认 客 户 瘦 和 服务 病 交 互 正常。 











代码 清单 8-25 ”列举 Nova 实例 


$ nova \ 


--oSs-username admin \ 

--os-passwordq openstackl \ 

--os-tenant-name admin \ 

—-—os-auth-url http://10.33.2.50:35357/v2.0 \ 

1]ist 

十 一 一 一 二 十 二 一 一 一 一 一 十 一 一 一 一 一 一 一 一 十 一 一 一 二 一 三 二 二 二 一 一 一 十 二 二 二 一 一 二 二 十 一 一 一 一 一 一 一 一 一 一 十 
| ID | Name Status Task State Power State Networks 


如 果 一 切 正 常 ， 那 么 可 以 看 到 类 似 代 码 清单 8-25 所 示 的 输出 。 如 果 遇 到 错误 ， 就 查看 Nova 
日 志 (/var/log/nova/nova-compute.log ) 里 出 现 的 明显 错误 。 
用 来 创建 实例 的 nova 命令 是 nova boot 。 要 创建 一 个 Nova 实例 ， 必 须 至 少 提 供 4 个 参数 : 


8.5 测试 Nova 209 











国 flavor 实例 的 大 小 ; 
图 ” image 一 一 应 用 到 被 实例 使 用 的 卷 的 镜像 的 ID ， 这 个 镜像 应 该 包含 实例 用 来 启动 的 操作 
系统 ; 





布 望 实例 连接 的 网 络 的 网 络 ID ; 
希望 使 用 的 实例 的 名 称 。 

代码 清单 8-26 至 代码 清单 8-28 展示 了 前 3 个 参数 可 用 的 选项 。 
首先 是 Nova flavor。 


国 nic net-id 





国 <instance name> 


代码 清单 8-26 ”列举 Nova flavor 





$ nova \ 

--os-username admin \ 

--os-passwordq openstackl \ 

—--os-tenant-name admin \ 

——-os-auth-url http://10.33.2.50:35357/v2.0 \ 


人 ao 开工 St 


十 一 一 一 一 十 一 一 一 一 一 一 一 一 一 一 一 十 一 一 一 一 一 一 一 一 一 一 一 + 一 一 一 一 一 一 + 一 一 一 一 一 一 一 一 一 一 一 十 
| ID | Name | Memory_MB | Disk | Ephemeral | 
十 一 一 一 一 十 一 一 一 一 一 一 一 一 一 一 一 十 一 一 一 一 一 一 一 一 一 一 一 十 一 一 一 一 一 一 十 一 一 一 一 一 一 一 一 一 一 一 十 
NW | 1 si | 下 2 [We | 0 
| mL | 2048 | We | 
| 3 | ml.medium | 4096 | 40 We | 
| | 80 攻 ， 
| 5 | ml.xlarge | 16384 | 160 | 0 | 
十 一 一 一 一 十 一 一 一 一 一 一 一 一 一 一 一 十 一 一 一 一 一 一 一 一 一 一 一 + 一 一 一 一 一 一 + 一 一 一 一 一 一 一 一 一 一 一 十 


然后 ， 寻 找 一 个 应 用 到 实例 的 镜像 。 
代码 清单 8-27 列举 Nova 镜像 





$ nova \ 

--os-username admin \ 

--os-passwordq openstackl \ 

—-—-os-tenant-name admin \ 

--os-auth-url http://10.33.2.50:35357/v2.0 \ 


image—1list 


于 二 三 一 一 一 一 二 一 一 一 一 一 一 一 一 一 二 二 一 一 二 一 一 二 一 一 二 一 一 二 二 一 一 一 一 一 于 二 一 一 一 二 二 一 二 一 一 二 一 一 一 于 一 一 一 一 一 一 一 一 十 
| ID | Name | Status | 
下 二 下 一 一 二 一 一 二 二 二 二 一 一 一 一 一 一 一 十 
| e02a73ef-ba28-453a-9fa3-fb63cla5bl5c | Cirros 0.3.2 | ACTIVE | 
二 二 平 二 三 二 三 二 全 二 二 十 


这 里 只 可 以 看 到 一 个 镜像 一 一 在 第 6 章 安 装 Glance 过 程 中 上 传 的 镜像 。 在 启动 实例 时 ， 需 
要 引用 镜像 的 ID: e02a73ef-ba28-453a-9fa3-fb63cla5bl5c。 
接着 ， 列 举 Nova 网 络 。 
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代码 清单 8-28 列举 Nova 网 络 





$ nova \ 

--os-username admin \ 

--os-passwordq openstackl \ 

—-—-os-tenant-name admin \ 

--os-auth-url http://10.33.2.50:35357/v2.0 \ 


net—-list 

十 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 十 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 + 
| | Label | 
十 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 十 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 + 


| 5b04alf2-1676-4fle-a265-adddc5c589b8 | INTERNAL NETWORK | 
| 64d44339-15a4-4231-95cc-ee04bffbc459 | PUBLIC NETWORK | 
十 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 十 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 + 


这 里 可 以 看 到 两 个 网 络 ， 即 内 部 网 络 和 公共 网 络 。 在 本 例 中 ， 我 们 使 用 INTERNAL_ 
NETNWORK， 通 过 网 络 ID: 5b04alf2- 1676-4fle-a265-adddc5c589b8 引用 。 





现在 已 经 选择 好 参数 ， 可 以 准备 创建 一 个 实例 ， 如 代码 清单 8-29 所 示 。 
代码 清单 8-29 ”创建 虚拟 机 实例 





$ nova \ 

--os-username admin \ 

--os-passwordq openstackl \ 

--os-tenant-name admin \ 

——-os-auth-url http://10.33.2.50:35357/v2.0 \\ 

boot \ 

——flavor 3 \ 

——-image e02a73ef-ba28-453a-9fa3-fb63cla5bl5c \ 
——nic net-id=5b04alf2-1676-4fle-a265-adddc5c589pb8 \\ 


MyVM 

十 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 二 一 一 一 一 一 一 一 一 一 一 一 | 
| Property | Value | 
十 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 二 一 一 一 一 一 一 一 一 一 一 一 | 
| OS-EXT-STS:vm_state | building. | 
| name | MyVM | 





实例 的 属性 vm_state 现在 应 该 是 building 状态 。 再 次 列举 实例 , 如 代码 清单 8-30 所 示 。 


代码 清单 8-30 ”列举 Nova 实例 





$ nova \ 

--os-username admin \ 

--os-passwordq openstackl \ 

—-—-os-tenant-name admin \ 

--os-auth-url http://10.33.2.50:35357/v2.0 \ 

瑟瑟 

+ 一 一 一 一 一 一 一 一 + 一 一 一 一 一 一 二 一 一 一 一 一 一 一 一 二 一 一 一 一 一 一 一 一 一 一 一 一 一 十 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 + 


ID Name Status Power State Networks 
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| 82..3f | MyVM | ACTIVE | Running | INTERNAL NETWORK=172.16.0.23 | 
十 一 一 一 一 一 一 一 一 十 一 一 一 一 一 一 十 一 一 一 一 一 一 一 一 十 一 一 一 一 一 一 一 一 一 一 一 一 一 十 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 + 


幸运 的 话 ， 实 例 现 在 应 该 是 运行 状态 并 分 配 了 一 个 网 络 。 如 果 状 态 是 ERROR ， 或 者 实例 处 
在 SPAWNING 状态 超过 几 分 钟 ， 就 查看 Nova 日 志 (/var/log/nova/nova-compute.log )。 如 果 没 有 
错误 出 现在 Nova 日 志 ， 丈 查看 控制 硕 的 日 志 。 

假如 一 切 正 常 ， 祝 贺 你 ! 你 已 经 成 功 完 成 了 OpenStack 的 手动 部 署 。 可 以 回顾 第 3 草 关 于 
OpenStack 的 基本 操作 ， 为 新 部 署 创 建新 租户 和 新 网 络 。 














想 要 尝试 更 新 版 本 的 OpenStack 吗 


证 Wnont T4044 eo OnenStack lcenouee I 水 eB ont 
CloudArchive ( https://wiki.ubuntu.com/ServerTeam/CloudArchive )， 可 以 在 Ubuntu 旧版 本 上 安装 
OpenStack 的 向 后 兼容 发 行 版 。 

本 书 介 绍 的 一 些 例子 也 许 不 能 ( 有 些 也 许可 以 ) 在 新 版 本 的 OpenStack 上 运行 , 但 现在 读者 已 经 
掌握 了 部 署 过 程 ， 当 然 可 以 更 好 地 对 升级 时 会 遇 到 的 问题 进行 排查 。 

虽然 这 是 组 件 级 别 的 部 署 , 但 是 读者 获得 了 对 OpenStack 框架 及 其 相关 依赖 更 深 的 理解 。 但 
要 记 住 ,本 书 的 例子 只 是 为 了 让 读者 认识 这 个 框 染 , 不 应 该 作为 最 佳 实践 引 用 。 我 们 将 会 在 本 书 
的 第 三 部 分 和 附录 部 分 讨论 OpenStack 的 生产 部 署 。 











Xx 号 ”小结 


国 ”OpenStack 计算 远程 地 从 Neutron 消耗 网 络 资源 、 从 Cinder 消耗 卷 资源 、 从 Glance 消耗 
镜像 资源 ， 以 及 从 本 地 计算 资源 消耗 hypervisor 资源 来 提供 虚拟 机 。 

在 计算 证 点 ， 虚 拟 机 网 络 传 输 不 能 直接 从 计算 市 点 访问 外 部 ( OpenStack 之 外 ) 网 络 。 
计算 证 点 为 它们 自己 的 传输 充当 交换 机 。 

Open vSwitch 可 以 用 来 在 通用 服务 硕 上 局 用 高 级 交换 功能 。 

OpenStack 计算 使 用 OpenStack 网 络 来 提供 OSIL2 和 L3 服务 。 

OpenStack 计算 与 OpenStack 网 络 通过 覆盖 网 络 通信 。 

OpenStack 计算 虚拟 机 与 其 他 OpenStack 计算 虚拟 机 通过 窗 关 网络 通信 。 

禾 关 网络 使 用 GRE、VXLAN 和 其 他 隧道 来 连接 像 虚 拟 机 和 其 他 OpenStack 网 络 服务 这 
样 的 端点 。 

Cinder 为 虚拟 机 提供 卷 存 储 。 

Glance 为 虚拟 机 卷 提 供 镜像 。 

KVM 可 以 作为 OpenStack 计算 的 hypervisor。 

确保 对 KVM 的 便 件 加 速 文 持 是 体现 恨 好 性 能 的 关键 。 


























三 部 分 
构建 生产 环境 








业 环 境 中 ， 和 典型 的 系统 管理 员 会 管理 各 种 各 样 的 基础 设施 和 应 用 。 在 企业 环境 中 ， 系 
统 工 程 师 经 稼 推动 基础 设施 的 设计 、 部 署 和 采用 。 本 书 这 一 部 分 的 几 章 将 会 帮 你 为 你 
的 环境 建立 成 功 的 OpenStack 部 署 。 





本 书 的 第 三 部 分 和 附录 介绍 在 生产 环境 中 部 署 和 应 用 OpenStack 的 相关 主题 ， 特 别 是 企 


汕 9 章 设 计 肯 已 的 OpenStack 染 构 


本 章 主要 内 容 

四 ”使 用 OpenStack 来 奉 换 现 有 的 虚拟 服务 器 平 合 
国 ”为 什么 要 构建 私有 云 

加 ”构建 私有 云 时 的 选择 





本 书 的 第 一 部 分 , 已 经 通过 DevStack 体验 过 了 OpenStack。 第 一 部 分 的 目的 是 癌 读 者 介绍 如 
何 使 用 和 为 什么 使 用 OpenStack， 以 激发 该 者 对 深入 理解 其 底下 工作 原理 的 兴 

本 书 第 二 部 分 ， 进 行 了 多 个 OpenStack 核心 组 件 的 手动 部 署 。 虽 然 这 对 理解 组 成 OpenStack 
的 底层 组 件 是 如 何 交 互 的 非常 重要 ,但 第 二 部 分 不 是 部 署 OpenStack 的 蓝图 。 通 过 剖析 底层 组 件 
和 配置 ， 增 强 了 对 底层 系统 理解 的 信心 ， 但 这 并 不 是 歌 励 在 生产 环境 手动 安 狼 这 些 组件 。 

本 书 的 第 三 部 分 和 附录 介绍 在 生产 环境 中 部 署 和 应 用 OpenStack 的 相关 主题 , 特别 是 企业 环 
境 中 ,典型 的 系统 管理 员 会 管理 各 种 各 样 的 基础 设施 和 应 用 。 在 企业 环境 中 ,系统 工程 师 经 浓 推 
动 基础 设施 的 设计 、 部 署 和 采用 。 本 书 这 一 部 分 的 几 章 旨 在 帮 你 为 你 的 环境 建立 成 功 的 OpenStack 
部 普 。 

本 章 会 介绍 计划 部 署 时 要 考 虞 的 问题 一 一 架构 、 财 务 和 运 维 。 本 章 并 不 是 操作 手册 ,反而 更 
多 的 是 构建 成 功 的 染 构 的 起 步 参 考 。 为 了 规范 架构 设计 ， 参考 “OpenStack 染 构 设计 指 丙 ” 
( OpenStack Architecture Design Guide ) ( http://docs.openstack.ors/arch-design )。 一 旦 决定 适合 目 己 
的 OpenStack 部 署名 构 类 型 ， 这 个 在 线 的 设计 指南 对 于 配置 和 规模 调整 是 非常 宝贵 的 财富 。 

很 多 企业 系统 人 员 都 是 通过 传统 虚拟 和 物理 基础 设施 平台 了 解 OpenStack。 本 章 首 先 会 介绍 使 
用 OpenStack 蔡 换 现 有 的 虚拟 服务 器 平 台 ， 包 括 部 团 OpenStack 时 获得 最 大 利益 的 战略 设计 选择 。 


de 替换 现 有 的 虚拟 服务 器 平台 


在 2015 年 Gartner 的 《x86 服务 融 虚 拟 化 基础 设施 魔力 象限 》( Magic Quadrant for x86 Server 
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Virtualization Infrastructure ) 报告 中 指出 ， 占 主导 地 位 的 企业 厂商 VMware 大 约 占 据 了 x86 工作 负 
载 虚拟 化 75% 的 份额 “。 本 节 会 解释 如 何 使 用 OpenStack 来 替换 或 者 增加 现 有 的 虚拟 机 环境 。 另 
外 ， 本 节 还 会 引入 一 个 OpenStack 不 只 是 传统 虚拟 服务 需 平 人 台 蔡 代 品 的 思考 案例 。 

在 一 定 程度 上 , 可 能 你 的 被 设计 用 来 提供 虚拟 机 的 传统 虚拟 环境 在 操作 上 很 像 物理 机 。 这 也 
是 一 个 好 机 会 , 在 你 的 环境 中 引入 虚拟 化 技术 作为 现 有 工作 负载 的 基础 设施 的 万 省 成 本 措施 。 将 
工作 负载 从 物理 服务 需 迁 移 到 虚拟 服务 融 都 会 经 过 一 个 P2V (Physical to Virtual ) 过 程 ， 物 理 服 
务 需 的 完全 复制 〈clone ) 通过 P2V 工具 实现 。 通 各 ， 物 理 和 虚拟 服务 怖 运行 在 相同 的 网 络 上 ， 
P2V 工具 可 以 完成 服务 无 中 断 迁 移 。 对 于 很 多 环境 来 说 , 加 强 在 虚拟 服务 硕 上 的 负载 的 过 程 会 节 
省 一 大 笔 费 用 。 除了 资源 可 以 更 有 效率 地 使 用 , 新 功能 包括 管理 镜像 和 虚拟 机 镜像 快照 变 成 软件 
开发 和 升级 过 程 的 一 部 分 , 可 以 减少 很 多 软件 和 硬件 故障 类 型 。 无论 虚拟 环境 为 用 户 提 供 了 多 少 
新 功能 ， 系 统管 理 员 仍 然 管理 操作 系统 和 虚拟 机 的 应 用 层面 ， 跟 之 前 管理 物理 机 基本 相同 。 

如 果 如 前 面 段 落 所 述 ， 只 是 想 把 虚拟 环境 当做 物理 环境 使 用 , 那么 OpenStack 为 你 的 环境 市 
来 的 好 处 就 非常 有 限 了 。 也 就 是 说 ， 如 果 还 是 通过 IT 部 门 来 手动 部 署 虚拟 机 而 不 是 使 用 日 动 化 
工具 ， 那么 你 必须 评估 OpenStack 这 样 的 云 框 架 如 何 能 更 有 效 运用 。 

假设 你 一 直 在 使 用 VMware vSphere 作为 服务 句 虚 拟 化 平台 ， 现 在 想 通过 使 用 OpenStack 替 
代 VMware 来 节省 成 本 。 如 果 只 是 把 OpenStack 简单 当成 VMware 的 “人 免费 ”替代 品 ， 那 你 可 能 
走 回 了 误区 。 虽 然 在 大 多 数 情况 下 ， 可 以 部 署 OpenStack 来 以 你 实际 的 运 维 兼 容 的 方式 ， 提 供 跟 
很 多 类 似 虚 拟 环境 同等 的 功能 。 回 到 前 面 VMware 蔡 代 的 例子 ,你 只 是 想 把 全 部 现 有 的 VMware 
工作 负载 迁移 到 OpenStack。 虽 然 OpenStack 存储 可 以 处 理 VMDK (VMware 镜像 格式 ) 文件 ， 
但 没有 像 VMware 提供 的 图 形 化 的 虚拟 到 虚拟 ( V2V ) 的 迁移 工具 ， 将 来 应 该 也 不 会 提供 。 

现在 ,考虑 经 第 用 于 创建 基于 VMware 的 机 东 镜像 的 过 程 。 通常, 使 用 一 个 加 面 客户 端 ， 用 
户 从 他 们 的 工作 站 挂 载 一 个 CD 或 者 DVD 到 虚拟 人 硬件 , 然后 跟 在 物理 机 上 一 样 执 行 安装 。 然而 ， 
OpenStack Dashboard 并 没有 提供 远程 挂 载 CD 和 DVD 镜像 的 功能 。 不 应 该 把 这 些 当 成 是 
OpenStack 不 完整 的 迹象 ， 但 有 一 个 迹象 表明 OpenStack 的 使 用 跟 传统 虚拟 服务 需 环 境 不 一 样 。 

OpenStack 作为 一 个 不 错 的 VMware 和 商业 hypervisor 的 替代 品 体现 在 何 处 ? 为 了 回答 这 个 
问题 ， 首 先 必 须 从 战略 上 思考 如 何 与 基础 设施 资源 互动 。 表 9-1 列 出 了 基于 你 的 基础 设施 管理 策 
略 OpenStack 可 能 的 影 啊 。 















































表 9-1 基于 环境 的 OpenStack 的 影响 


环境 影响 
孤立 的 硬件 和 手动 管理 虚 | 硬件 管理 是 孤立 的 , 资源 是 共享 的 。 虚 拟 硬件 通过 IT 人 员 手 动 分 
拟 机 配给 最 终 用 户 ， 最 终 用 户 只 对 系统 级 别 操作 负责 
孤立 的 硬件 和 自动 化 的 虚 | 硬件 管理 是 孤立 的 , 资源 是 共享 的 。 虚拟 基础 设施 是 IT 人 员 通 过 
拟 机 自动 化 的 方式 部 署 的 ， 最 终 用 户 只 对 应 用 级 别 操作 负责 








Q) 参见 Thomas J. Bittman 、Philip Dawson 和 Michael Warrilow 的 《x86 服务 器 虚拟 化 基础 设施 魔力 象限 》 
( 2015-7-14 ),，www.gartner.com/technology/reprints.do?id=1-2JGMVZX&ct=150715。 
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续 表 


环境 影响 


日 和 让 于 本 加 和 1 性 了 N 喇 头 : 
具体 应 用 程序 后 端 1 三 | 理 。 基础 设施 和 应 用 由 IT 人 员 为 具体 高 到 非常 高 














硬件 是 专用 的 ， 被 云 框架 管理 。 应 用 和 标准 (大 小 和 操作 系统 ) 
虚拟 机 通过 自动 化 的 自助 方式 提供 给 最 终 用 户 


对 于 表 9-1 中 的 孤立 硬件 和 手动 管理 虚拟 机 , 通过 集中 式 小 组 手动 分 配 虚 拟 机 而 不 是 通过 目 


私有 云 非常 高 














动 方式 ， 他 们 就 会 把 OpenStack 看 成 是 不 完整 的 和 不 必要 的 。 没 有 自动 化 的 加 入 ，OpenStack 不 
必 为 他 们 当前 工作 提供 帮助 。 

孤立 硬件 和 自动 化 虚拟 机 环境 与 前 面 的 手动 环境 类 似 ， 除 了 管理 基础 设施 的 IT 部 门 在 一 定 
程度 上 会 使 用 基础 设施 编排 。 例如 , 使 用 动态 上 自动 化 提供 资源 作为 请 求 工 作 流 一 部 分 的 部 门 束 属 
于 这 一 类 。 跟 他 们 的 手动 同类 相似 ， 归 为 这 一 类 型 的 组 织 经 常 把 OpenStack 当成 是 他 们 现在 使 用 
的 产品 的 低 成 本 蔡 代 品 。 虽 然 OpenStack 可 以 市 省 成 本 是 事实 , 但 这 类 组 织 的 运作 和 业务 流程 必 
须 改 变 以 完全 地 利用 这 个 框架 。 

现在 , 正如 在 具体 应 用 后 端的 场景 , 假设 集中 式 手动 提供 虚拟 机 被 重新 定位 为 基础 设施 或 应 
用 资源 顾问 。 

假设 通过 这 个 战略 切换 , 不 但 在 基础 设施 使 用 自动 化 , 而 且 用 于 应 用 层面 的 供给 。 更 进一步 
假设 资源 按 租户 分 配 ， 部 门 级 别 的 人 员 可 以 为 目 己 供给 资源 。 这 就 是 私有 云 ，IT 部 门 通过 代理 
式 服 务实 现 部 门 级 别 的 敏捷 ， 而 不 是 直接 处 理 这 些 资 源 。 在 很 多 方面 ， 以 这 种 方式 来 运作 会 改变 
你 对 环境 中 基础 设施 的 角色 的 看 法 。 应 用 和 基础 设施 层面 的 自动 化 ， 将 不 再 需要 于 P2V 和 V2V 
工具 ,因此 也 不 需要 迁移 镜像 了 。 在 这 种 运作 模式 里 ， 基 础 设施 资源 更 加 短暂 ， 更 加 像 是 一 个 应 
用 功能 而 不 是 一 个 静态 的 资源 分 配 。 

OpenStack 真正 的 价值 是 框架 提供 的 上 自动 化 和 平台 抽象 。 下 面 几 节 将 会 讨论 开发 OpenStack 
设计 时 必须 考虑 的 架构 注意 事项 。 





















































9.1.1 部署 选择 

如 果 你 习惯 于 使 用 类 似 VMware vSphere 或 者 Hyper-V 这 样 的 虚拟 服务 带 平 台 ， 你 可 能 需要 
重新 考虑 硬件 的 购买 和 文 持 服务 。 尽 管 不 像 过 去 那么 普遍 ,企业 的 物理 资源 ， 如 网 络 交 换 机 和 集 
中 存储 池 ， 是 可 以 在 物理 和 虚拟 资源 间 共 享 的 。 即 使 某 种 资源 仅 分 配给 一 个 虚拟 服务 器 平台 , 但 
你 通常 会 考虑 通过 这 个 平台 使 用 供给 资源 而 不 需要 平台 本 号 管理 资源 ,。 例如 , 经 常会 有 人 分 配 一 
个 新 的 VLAN 或 者 创建 一 个 共享 的 逻辑 单元 号 (Logical Unit Number, LUN ) 给 一 组 Hypervisor。 
但 如 果 你 需要 创建 新 的 VLAN 或 者 新 的 共享 LUN， 这 些 系 统 的 管理 员 要 通过 他 们 目 己 的 供给 流 
程 。 经 稼 是 “网 管 ” 来 进行 所 有 网 络 配置 、“ 存 储 人 员 ” 来 进行 所 有 存储 的 分 配 ， 以 及 “虚拟 机 
人 员 ” 把 物理 服务 需 资 源 整合 到 一 起 来 创建 虚拟 机 。 每 个 人 在 这 个 过 程 中 都 必须 要 执行 手动 供给 
步骤 ， 他 们 经 党 都 不 会 去 想 这 些 资源 是 如 何 整 合成 完整 的 基础 设施 的 。 
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从 共享 的 中 心 基础 设施 雄 片 部 署 OpenStack 通常 是 一 种 误区 。OpenStack 发 现 、 配 置 和 提供 
基础 设施 资源 ， 而 不 是 用 其 他 方式 来 做 这 些 。 即 使 你 的 共享 的 中 心 基础 设施 提供 多 租户 〈 不 要 与 
OpenStack 的 租户 混 消 ) 操作 ， 可 以 自动 隔离 OpenStack， 但 你 还 是 必须 考虑 依赖 于 共享 资源 进 
行 OpenStack 资源 供给 会 有 什么 影响 。 例 如 ， 因 为 OpenStack 之 外 的 原因 要 软件 升级 都 可 能 会 影 
啊 到 服务 。 另 外 ， 当 没有 提供 OpenStack 服务 存在 问题 的 指示 时 ，OpenStack 资源 范围 之 外 的 资 
源 利 用 将 影响 性 能 。 

在 很 多 案例 中 ,虚拟 环境 都 没有 人 被 设计 去 充分 利用 程序 化 管理 基础 设施 种 来 的 好 处 。 在 这 些 
案例 中 ,很 多 操作 实践 都 被 开发 用 于 竺 直 管 理 这 些 扳 立 的 资源 ， 如 计算 、 存 储 、 网 络 和 负载 均衡 
等 。 相 反 ，OpenStack 就 是 设计 用 来 把 这 些 物 理 基 础 设施 在 逻辑 上 全 部 抽象 出 来 。 通 总 ， 把 资源 
完全 分 配给 OpenStack， 可 以 减少 很 多 麻烦 ， 同 时 可 以 通过 插件 和 服务 让 框架 管理 资源 ， 而 不 是 
使 用 其 他 的 方式 。 

在 接 下 来 的 一 节 中 , 假定 你 希望 使 用 OpenStack 扩张 或 者 增加 新 服务 来 管理 你 的 资源 。 在 你 
的 环境 ， 你 想 充 分 利用 OpenStack 的 管理 能 力 ， 甚 至 想 用 OpenStack 管理 硬件 ,但 叉 想 最 终 效 果 
跟 现 有 的 资源 供给 类 似 。 特 别 地 ， 为 了 更 高 效 你 可 能 想 改 变 操 作 和 部 署 的 方式 ,但 你 主要 还 是 想 
部 署 虚 拟 机 ， 就 像 现 在 你 可 能 正在 使 用 VMware 或 者 微软 公司 做 的 那样 。9.2 节 会 介绍 更 深层 次 
的 IaaS 实现 。 


9.1.2 使 用 何 种 类 型 的 网 络 

如 果 你 想 利 用 OpenStack, 但 你 又 不 想 OpenStack 管理 L3( 即 网 络 层 ) 服务 , 如 路 由 、DHCP 
和 VPN 和 等， 那么 你 必须 要 评估 基于 L2 (交换 ) 服务 管理 的 选项 。 

例如 ， 图 9-1 显示 了 一 个 虚拟 
机 直接 连接 到 公共 的 L2 网 络 。 这 
个 例子 并 不 是 OpenStack 特有 的 ， 
很 多 虚拟 服务 需 平 台 包 括 VMware 
vSphere 和 Microsoft Hyper-V 也 有 
类 似 这 样 的 网 络 部 署 。 在 这 种 网 络 
部 署 场景 下 ,hypervisor 的 工作 就 是 
把 L2 网 络 流量 直接 发 送 到 一 个 交 
换 机 ， 这 个 交换 机 通常 是 在 
hypervisor 擎 探 范 围 之 外 的 物理 交换 机 。 不 像 本 书 很 多 其 他 网 络 例子 , 这 种 场景 下 不 存在 “内 部 ” 
网 络 或 者 hypervisor 网 络 这 种 概念 ， 因 为 虚拟 服务 器 平台 不 提供 L2 服务 。 在 这 种 类 型 的 部 署 下 ， 
所 有 的 L3 服务 都 是 由 hypervisor 之 外 的 系统 提供 。 正 如 你 想象 的 那样 ， 把 主要 的 网 络 服务 从 虚 
拟 服务 需 平 人 台 分 离 出 来 会 限制 平台 的 优势 ， 但 这 种 简化 也 不 是 一 无 是 处 。 基 于 你 的 IT 战略 、 现 
有 的 资源 和 支持 结构 ， 这 种 操作 模式 可 能 是 最 适合 你 的 。 

本 书 主要 关注 于 通过 OpenStack 网 络 (Neutron ) 来 提供 L2 和 3 服务 。 如 前 面 章 节 所 述 ， 
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虚拟 机 
9-1 L2 网 络 与 虚拟 机 和 hypervisor 
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Neutron 被 创建 是 为 了 管理 OpenStack 环境 内 部 的 复杂 网 络 和 服务 , 而 不 只 是 简单 地 把 L2 流量 推 
送 到 外 部 网 络 。 但 是 Neutron 之 前 的 OpenStack 计算 (Nova ) 项 目 提 供 基 本 的 2 服务 。 如 果 你 
想 限 制 OpenStack 部 署 只 使 用 L2 服务 ， 你 会 想 为 网 络 使 用 Nova， 而 不 是 Neutron。 


网 络 硬 件 


如 果 你 正在 为 网 络 使 用 Nova， 那 么 基本 上 不 用 为 OpenStack 和 网 络 硬件 的 整合 担心 。 在 
OpenStack 项 目 早期 ， 很 多 硬件 厂商 都 为 他 们 的 硬件 编写 与 Nova 整合 的 驱动 ， 但 现在 大 多 数 这 种 驱 
动 的 开发 工作 已 经 迁移 到 Neutron 项 目 了 。 


Nova 网 络 可 以 在 3 种 不 同 的 拓扑 进行 操作 : 遍 平 、 遍 平 DHCP 和 VLAN。 

在 扁平 拓扑 中 ,所 有 网 络 服务 都 是 从 OpenStack 之 外 获得 。 你 可 以 认为 扁平 拓扑 跟 你 的 办 公 
室 或 者 家 庭 网 络 连接 的 工作 模式 一 样 。 当 你 连接 计算 机 到 扁平 网 络 , 你 的 计算 机 依靠 现 有 的 网 络 
服务 , 如 DHCP 和 DNS。 在 这 种 操作 模式 下 ，OpenStack 简单 地 把 虚拟 机 连接 到 现 有 的 网 络 ， 就 
跟 你 的 物理 机 器 一 样 。 

扁平 DHCP 拓扑 与 扁平 拓扑 类 似 ， 除 了 OpenStack 提供 了 DHCP 服务 器 来 分 配 虚拟 机 的 网 
络 地 址 。 

VLAN 拓扑 跟 局 平 拓扑 的 运作 方式 一 样 ,但 是 它 允 许 基于 VLAN ID 的 VLAN 划分 。 人 简单 来 
说 ， 在 扁平 网 络 里 ， 所 有 虚拟 机 的 流量 发 送 到 相同 的 L2 网 络 段 ,但 在 VLAN 拓扑 里 ,你 可 以 分 
配 具体 的 L2 网 络 段 给 一 个 特定 的 虚 


拟 机 。 hypervisor hypervisor hypervisor 
Sp A B C 
下 一 节 将 会 介绍 存储 的 选择 。 























虚拟 机 A 虚拟 机 B 虚拟 机 CC 

9.1.3 ”使 用 何 种 类 型 的 存储 

如 果 你 之 前 使 用 过 传统 虚拟 服务 
伪 平 台 坏 境 ， 也 许 你 的 hypervisor 与 
存储 子 系统 之 间 没 有 管理 整合 。 如 果 
你 正在 使 用 VMware vSphere， 你 通常 
会 挂 载 一 个 大 的 共 至 主机 卷 到 你 的 
Hypervisor， 如 显示 在 图 9-2 的 共 至 卷 
所 示 。 

在 图 9-2 中 ,你 可 以 看 到 一 个 单 
一 的 主机 卷 通过 所 有 的 hypervisor 共 
享 。 这 个 共享 的 主机 卷 被 集群 文件 系 ee : 
统 格式 化 ,允许 hypervisor A 使 用 相同 虚拟 机 A 的 卷 ”虚拟 机 B 的 卷 ”虚拟 机 C 的 卷 
的 底层 主机 卷 为 虚拟 机 A 存储 数据 ， II 





一 卷 管理 在 共享 的 


共享 的 主机 卷 。 -一 主机 卷 层面 实现 
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hypervisor B 使 用 同样 的 方式 为 虚拟 机 每 个 hypervisor 维 护 自己 的 存储 及 其 虚拟 机 的 存储 
B 存储 数据 。 如 果 虚 拟 机 B 迁移 到 
hypervisor A 上 ， 不 需要 转移 存储 的 数 re ee ee 
据 ， 因 为 数据 已 经 可 以 通过 hypervisor 上 中 C 

A 访 问 。 在 这 种 场景 下 ,虚拟 机 卷 管 理 虚拟 机 A 虚拟 机 B 虚拟 机 C 





在 共 至 主机 卷 层面 实现 , 因此 ,从 底层 
存储 子 系统 的 角度 来 看 , 除了 把 这 个 大 
的 共 邓 主机 卷 振 载 到 hypervisor 之 外 ， 
没有 什么 可 以 管理 了 。 

相反 ， 微 软 公 司 的 Hyper-V 推出 
“不 共享 ”模型 ， 每 个 hypervisor 维护 
日 己 的 存储 和 自主 为 虚拟 机 提供 存储 。 
一 个 独立 主机 卷 模型 如 图 9-3 所 示 。 

在 图 9-3 中 ，hypervisor A 使 用 主 
机 卷 A 为 虚拟 机 A 存储 数据 。 如 果 虚 
拟 机 B 被 迁移 到 hypervisor A， 卷 信息 








主机 卷 A 主机 卷 B 主机 卷 C 





将 需要 迁移 到 新 的 hypervisor。 这 种 不 虚拟 机 A 的 卷 虚拟 机 B 的 卷 虚拟 机 C 的 卷 
共享 的 架构 的 好 处 是 失效 域 减 少 了 , 但 图 9-3 ”独立 主机 卷 








迁移 的 成 本 增加 了 。 就 跟 共 享 主机 卷 模 型 一 样 ，hypervisor 为 它 维护 的 虚拟 机 管理 卷 ， 因 此 存储 
子 系统 也 不 算是 虚拟 服务 吉平 台 的 一 部 分 。 这 也 并 不 是 说 没有 存储 三 商 与 vSphere 和 Hyper-V 集 
成 ， 人 简单 地 说 ， 一 个 高 层次 的 集成 不 是 它们 操作 的 基础 。 

前 面 介绍 过 ，OpenStack 里 有 两 种 类 型 的 存储 : 对 象 和 块 。OpenStack Swift 提供 了 对 象 存 
储 服 务 ， 可 以 为 虚拟 机 镜像 和 快照 提供 后 端 和 存储。 如 有 果 你 作为 一 个 管理 员 使 用 过 虚拟 服务 郑平 
侣 ， 你 可 能 没有 使 用 过 对 象 存储 。 尽 管 基 于 对 象 的 存储 非常 强大 , 但 它 不 是 提供 虚拟 基础 设施 
必需 的 ， 也 不 在 本 书 的 讨论 范围 之 内 。 相 反 ， 块 存储 是 一 个 必需 的 虚拟 机 组 件 ， 在 本 书 多 个 草 
让 会 涉及 。 

本 书 主要 通过 OpenStack 块 存储 服务 (Cinder ) 来 介绍 块 存储 。 使 用 OpenStack 计算 服务 
(Nova )， 可 以 不 使 用 Cinder 就 能 启动 虚拟 机 。 但 这 个 用 来 启动 虚拟 机 的 卷 是 临时 性 的 ， 这 意味 
着 虚拟 机 终止 后 ,这 个 虚拟 机 卷 上 面 的 数据 也 没有 了 。 与 临时 存储 相反 的 是 永久 存储 ,可 以 从 一 
个 虚拟 机 解除 挂 载 ， 然 后 挂 载 到 男 一 个 虚拟 机 。hypervisor、 永 久 虚 拟 机 卷 、Cinder 和 存储 子 系 
统 之 则 的 关系 如 图 9-4 所 示 。 

如 图 9-4 所 示 , 虚拟 机 直接 与 底层 存储 子 系统 交互 , 而 不 是 hypervisor。 相 比 之 下 ,在 VMware 
vSphere 和 微软 Hyper-V 的 例子 中 ， 虚 拟 机 的 存储 都 是 由 hypervisor 提供 。 这 种 操作 的 根本 不 同 
使 得 OpenStack 可 以 在 更 高 层次 对 存储 子 系统 进行 管理 。 其 他 虚拟 服务 器 平台 可 能 在 hypervisor 
层面 管理 虚拟 机 卷 ，Cinder 通过 与 便 件 和 软件 存储 系统 交互 来 提供 如 卷 的 创建 、 扩 容 、 迁 移 、 删 
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除 等 功能 。 存 储 系 统 和 支持 功能 可 以 通过 Cinder 支持 列表 查看 : https://wiki.openstack.org/wiki/ 
CinderSupportMatrix。 
Openstack 服 秀 


Neutron 


二 


网 络 





厂商 插件 


存储 厂商 API 





服务 器 硬件 SAN 


Cr 


图 9-4 OpenStack 虚拟 机 的 卷 
下 一 万 将 会 介绍 服务 硕 的 选择 。 


9.1.4 ”使 用 何 种 服务 咽 





除了 非常 少见 的 案例 ， 绝 大 多 数 的 
OpenStack 部 署 都 会 使 用 Cinder 来 管理 卷 存 
储 。 但 还 有 个 问题 ，Cinder 应 该 管理 哪 种 类 
型 的 存储 便 件 或 软件 平台 ? 

底层 存储 子 系统 的 问题 需要 综合 考虑 
几 个 因素 ,包括 你 现在 使 用 的 存储 广 商 、 是 
否 分 配 存储 系统 给 OpenStack 和 你 对 环境 的 
风险 容忍 度 。 例 如 ， 假 如 你 想 模 仿 vSphere 
或 者 HyperV 的 操作 , 你 的 存储 是 由 一 个 大 
型 的 中 心 存 储 区 域 网 络 (SAN ) 来 提供 。 在 
这 个 例子 中 ， 你 想 使 用 这 个 系统 的 存储 ， 但 
又 不 想 Cinder 直接 与 你 的 共享 中 心 系统 交 
互 。 在 这 种 情况 下 ， 你 可 以 通过 和 直接 挂 载 独 
立 的 卷 到 计算 或 者 存储 市 点 来 抽象 底层 存 
储 子 系统 ， 与 图 9-3 所 示 类 似 。 然 后， 使 用 
LVM 管 理 你 的 独立 主机 卷 -LYM 将 被 Cinder 
管理 , 于 是 抽象 底层 存储 子 系统 使 用 LVM 
管理 一 个 独立 的 卷 没 有 使 图 9-4 所 示 的 存储 
模型 失效 ， 事实 上 ， 在 第 7 草 中 ，Cinder 会 
使 用 LVM 作为 其 底层 存储 子 系统 。 当 然 ， 
在 其 他 配置 中 ， 中 心 存储 软件 和 硬件 也 可 以 
被 直接 使 用 , 但 LVM 是 人 们 使 用 共享 中 心 
存储 服务 常见 的 选择 。 




















前 面 的 几 节 介绍 了 为 虚拟 机 提供 网 络 和 存储 资源 的 选择 。 多 数 情况 下 , 你 关于 网 络 和 存储 做 
出 的 选择 要 基于 你 当前 的 和 将 来 倾 癌 的 运营 情况 来 考虑 ,无 论 提 没 提 到 网 络 底 层 配 置 或 者 存储 便 
件 或 软件 ,在 某 种 程度 上 与 你 现在 正在 做 的 有 本 质 上 的 不 同 。 事实 上 ,到 目前 为 止 , 我 们 在 本 章 
所 讨论 的 架构 都 是 用 来 模拟 一 个 传统 的 虚拟 服务 吉平 台 环 境 。 当 讨论 到 OpenStack 计算 (Nova ) 
时 ， 文 持 列 表 ( https://wiki.openstack.org/wiki/HypervisorSupportMatrix ) 没有 列举 任何 服务 需 人 硬件 








厂商 ， 它 只 列举 了 支持 的 hypervisor 类 型 。 
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裸 机 和 容器 


尽管 它们 在 本 书 的 讨论 范围 之 外 ， 使 用 OpenStack 也 可 以 提供 裸 机 服务 器 和 LXC/Docker 容器 。 
特别 是 那些 对 使 用 OpenStack 来 提供 应 用 感 兴趣 的 人 ， 会 在 OpenStack 环境 里 使 用 容器 。 


如 果 你 购买 了 一 台 带 有 Intel 或 者 AMD x86_64 处 理 需 的 服务 器 ， 在 市 场 化 的 服务 器 硬件 市 
场 ，x86_64 指令 集 可 以 保证 运行 所 有 类 型 的 hypervisor。 尽 管 一 些 便 件 配 置 和 广 商 提供 的 高 级 功 
能 可 能 不 尽 相 同 ,， 但 OpenStack 计算 服务 在 这 方面 对 硬件 是 无 感知 的 。 真 正面 临 的 问题 是 你 想 用 
哪 种 hypervisor。 

你 必须 首先 考虑 部 署 OpenStack 的 动机 。 如 果 你 的 目的 是 蔡 换 现 有 的 商业 虚拟 服务 郁 平 台 ， 
在 某 种 程度 上 模仿 那个 平台 的 操作 ， 然 后 你 可 能 还 不 想 维护 商业 hypervisor 的 许可 成 本 。 














免费 版 的 VMware ESXi 和 微软 Hyper-V 近来 ，VMware 和 微软 公司 发 行 了 它们 的 核心 虚拟 化 
平台 的 免费 版 本 。 这 种 在 许可 方面 的 改变 也 让 社区 对 在 OpenStack 里 使 用 这 些 hypervisor 产生 了 
深厚 的 兴趣 。 但 与 KVM 比较 ， 缺 点 至 少 包括 缺少 社区 支持 。 


基于 OpenStack 用 户 调 查 , KVM 是 OpenStack 部 署 使 用 最 多 的 hypervisor 类 型 , 大 部 分 的 社 
区 文 持 也 放 在 KKVM 上 。 总 的 来 说 ， 你 应 该 基于 当前 的 商业 实践 来 来 选择 服务 硕 便 件 ， 同 时 使 用 
KVM， 除非 你 有 很 好 的 理由 要 使 用 其 他 hypervisor。 

本 市 介绍 了 部 团 OpenStack 来 检 换 现 有 的 虚拟 服务 器 平台 的 染 构 决策 。 下 一 市 会 介绍 为 定制 
私有 云 部 萤 全 新 环境 的 染 构 。 


ee 为 什么 要 构建 私有 云 


OpenStack 被 一 些 大 型 公有 云 服务 使 用 ， 包括 DreamHost DreamCompute (参见 
www.openstack.org/marketplace/public-clouds/ )。 这 些 公司 利 用 OpenStack 项 目 ， 以 及 它们 自己 的 
定制 集成 服务 ,管理 比 大 多 数 企 业 客户 规模 大 得 多 的 资源 。 服 务 右 和 管理 员 的 比例 变化 很 大 ， 取 
决 于 组 织 基 础 设施 的 规模 、 复 杂 度 ， 以 及 相关 工作 负载 。 例 如 ， 对 于 小 型 和 中 等 规模 的 企业 ， 物 
理 服务 硕 和 管理 员 的 比例 通 稍 是 30:1 或 者 更 低 ， 然 而 对 于 中 等 到 大 型 的 企业 ， 虚 拟 服务 硕 和 管 
理 员 的 比例 可 能 是 500:1。 但 当 你 想到 Amazon 和 Google 在 全 球 实现 物 理 服务 名 和 管理 员 的 比例 
为 10,000:1， 就 会 开始 体会 到 大 规模 提供 商 先 进 的 基础 设施 管理 效率 。 

当 企 业 利用 企业 专用 资源 提供 类 似 公 有 云 的 服务 , 我 们 称 为 私有 云 。 通 过 采用 相关 技术 和 大 
规模 提供 商 的 操作 实践 来 构建 私有 云 , 企业 可 以 基于 工作 负载 发 展 混 合 云 战略 。 为 什么 私有 云 会 
存在 ? 为 什么 不 是 所 有 的 工作 负载 都 放 到 公有 云 上 ? 关于 公有 、 私 有 和 混合 云 的 IT 战略 的 详细 
人 研究 超出 本 书 的 克 围 。 但 本 市 介绍 关于 为 企业 部 署 私 有 云 和 采用 混合 云 策略 的 几 个 观点 。 
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9.2.1 公有 云 规模 经 济 的 观念 

云 计算 经 钊 摘 述 为 电力 网 络 的 计算 领域 等 价 物 。 考 虑 到 经 济 学 里 面 定义 的 效用 ,， 即 一 件 商 品 
满足 人 类 需求 的 能 力 ， 就 很 容易 看 出 云 计 算是 如 何 获 得 这 个 声誉 的 。 

但 与 电力 网 络 对 比 是 有 本 质 的 错误 的 。 电 力 网 络 ， 跟 云 计算 很 像 ， 生 产 的 商品 必须 实时 被 消 
费 , 但 这 个 比较 在 这 里 束 结 束 了 。 规 模 经 济 和 商品 的 生产 之 间 的 天 系 有 很 大 的 不 同 。 核 设施 批量 
产生 的 电力 跟 一 大 堆 消 费 级 别 的 发 电机 产生 的 电力 相 比 , 在 成 本 效益 上 完全 不 是 一 个 量 级 。 在 计 
算 机 方面 , 没有 任何 量子 或 其 他 类 型 的 计算 机 能 够 产生 比 商 业 集群 更 具 成 本 效益 的 计算 能 力 ， 
此 规模 经 济 不 是 可 比较 的 。 事实 上 , 在 商业 服务 大 上 的 利润 率 如 此 之 低 ， 以 至 于 企业 和 公有 云 提 
供 商 为 相同 便 件 文 付 的 成 本 差异 是 可 以 忽略 不 计 的 。 

这 并 不 是 说 大 规模 提供 商 没 有 优势 。 例 如 , 大 规模 不 同类 型 的 工作 负载 在 很 多 资源 之 间 保 持 
平衡 应 该 比 它 的 小 规模 且 没 有 优化 的 环境 要 更 加 有 效率 。 但 企业 客户 可 以 利用 与 公共 提供 商 相同 
的 基础 组 件 ， 可 以 得 到 几乎 相同 的 价位 。 


9.2.2 全 球 规模 或 严格 控制 

公有 云 提 供 商 提供 了 IaaS 以 外 的 各 种 服务 ,但 为 了 讨论 的 目的 ,本 书 讨论 的 公有 云 只 限于 TaaS。 

可 以 认为 IaaS 提供 由 不 相关 联 的 组 件 (CPU、RAM、 存 储 和 网 络 ) 组 成 的 虚拟 机 。 公 有 云 
客户 对 提供 公有 云 IaaS 的 物理 基础 设施 是 无 感知 的 。 确 切 地 说 ， 用 户 无 法 知道 他 们 是 为 最 新 最 
好 的 技术 还 是 过 时 的 技术 付费 。 更 深入 点 ， 客 户 无 法 决定 某 种 具体 类 型 的 共享 服务 的 超 配 级 别 。 
不 知道 底层 的 平台 和 共 主 用 户 的 数量 , 就 没有 被 动 的 定量 的 方法 来 测量 这 些 不 同 的 公共 提供 向 的 
IaaS 价值 。 考 虑 这 样 一 个 案例 ， 提 供 商 A 有 每 单元 X 的 成 本 ， 超 配 比例 是 20:1， 而 提供 商 B 有 
每 单元 2X 的 成 本 ， 超 配 比 例 是 10:1。 总 成 本 明显 是 相同 的 , 但 在 客户 眼 里 ,提供 商 B 的 成 本 是 
提供 商 A 的 两 倍 。 

在 很 多 行业 中 , 定义 服务 等 级 协议 〈Service Level Agreement，SLA ) 以 便 客户 可 以 评估 服务 
提供 商 的 预期 质量 。 通 常 ， 公 有 云 SLA 是 基于 正常 运行 时 间 ， 而 不 是 性 能 。 毫 无 疑问 ， 公 有 云 
资源 的 大 客户 会 与 他 们 的 公共 提供 商 一 起 开发 性 能 SLA, 但 这 在 中 小 型 企业 并 不 常见 。 没 有 定量 
的 方式 ， 你 只 能 基于 主动 测量 来 评估 质量 。 虽 然 在 计算 领域 不 缺 基 准 测 试 , 但 被 普遍 接受 的 云 服 
务工 作 负 载 测量 标准 至 今 还 没 出 现 。 

由 于 缺乏 清晰 定义 的 SLA 和 验证 方法 ,因此 很 难 比 较 不 同 提 供 商 的 公有 云 服 务 价值 。 另 外 ， 
随 着 时 间 的 推移 ,价值 比较 可 以 会 随 着 提供 商 的 工作 负载 改变 而 改变 。 对 于 很 多 工作 负载 ， 全 球 
需求 的 IaaS 的 好 处 远大 于 资源 性 能 的 变化 。 但 对 于 其 他 工作 负载 ， 通 过 私有 云 来 严格 控制 性 能 
是 有 必要 的 。 


9.2.3 不 公开 的 数据 引力 
Dave McCrory 创造 了 术语 “数据 引力 ”( data gravity ) 来 描述 应 用 程序 和 其 他 服务 如 何 被 数 
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据 来 源 吸引 ， 类 似 于 物体 在 宇宙 中 的 引力 与 它们 的 质量 成 正比 。 公 有 云 提 供 商 意识 到 这 个 现象 ， 
通常 会 让 迁移 数据 到 它们 的 服务 比 迁移 出 去 更 加 有 经 济 吸 引力 。 例 如 ， 迁 移 数据 到 Amazon EC3 
服务 不 收费 ,但 把 数据 从 这 个 服务 迁移 出 去 就 有 分 级 定价 结构 。 类 似 的 定价 结构 存在 于 Amazon 
EC2 实例 和 其 他 Iaas 提供 丙 的 服务 中 ,“51 谎 ”用 户 迁 移 数据 到 具体 的 云 提 供 商 , 然后 保持 下 去 。 

云 提 供 丙 能 够 通过 它们 的 传输 速率 价格 结构 利用 数据 引力 现象 为 客户 创建 云 厂 商 锁 定 。 考虑 
这 样 的 案例 , 一 个 组 织 决定 基于 资源 (不 考虑 传输 ) 的 单元 价格 的 成 本 效益 ,把 它 所 有 的 存储 和 
相关 的 计算 迁移 到 公有 云 提 供 商 。 即 使 这 些 数据 绝 大 部 分 是 在 云 提供 商 外 部 产生 的 , 不 断 添加 数 
据 到 公共 提供 商 维 护 的 存储 也 不 会 有 传输 处 罚 , 现在 假设 这 个 组 织 想 要 使 用 第 二 个 公有 云 提供 商 
作为 元 余 。 虽然 新 提供 商 可 能 也 对 传输 进来 的 数据 不 收取 传输 费用 , 但 现 有 的 提供 商会 对 传输 出 
去 的 数据 收费 ， 这 大 大 增加 了 成 本 。 

如 末 你 想 在 本 地 处 理 这 些 数据 或 想 要 利用 成 本 更 低 的 提供 商 来 处 理 , 这 同样 是 正确 的 。 当 你 
的 数据 绝 大 部 分 被 公有 云 维 护 ， 服 务 就 很 难 逃 脱 你 和 提供 商 间 的 数据 引力 。 

保持 你 的 数据 绝 大 部 分 在 私有 云 ， 允许 在 需要 时 把 数据 移 进 和 移出 公有 云 。 对 于 很 多 工作 负 
载 和 组 织 ， 来 日 多 个 提供 商 的 消费 服务 的 能 力 ， 包 括 本 地 资源 ， 好 处 大 于 纯 公 有 云 服 务 。 


























9.2.4 混合 云 

按 使 用 收费 ( pay as you go ) 的 原则 是 公有 云 和 私有 云 之 间 的 关键 差 异 。 这 很 容易 理解 ， 当 
及 时 信息 至 关 重 要 时 , 在 1000 台 计 算 机 上 花费 1 小 时 比 在 1 台 计 算 机 上 花费 1000 个 小 时 更 有 经 
济 效 益 。 但 乍 一 看 ， 当 你 假设 100% 的 服务 要 全 天 候 (24/7/365 ) 使 用 ， 这 种 购买 云 服务 的 经 济 性 
似乎 就 不 存在 了 。 

基于 流量 的 定价 观念 允许 重 定 问 资本 , 原本 致力 于 基础 设施 的 投资 会 重 定位 到 其 他 战略 投资 
上 。 大 型 公有 云 提供 商 对 具体 的 工作 负载 的 峰值 有 天 然 的 容忍 能 力 。 由 于 大 范围 客户 的 工作 负载 
的 多 样 性 , 不 太 可 能 所 有 客户 的 所 有 工作 负载 同时 有 资源 峰值 需求 。 由 于 云 的 目 然 弹性 , 很 多 运 
营私 有 云 相 关 的 能 力 风险 转移 到 公有 云 提供 疝 。 私有 云 必须 按 峰 值 流量 构建 ,无 论 峰 值 会 持续 多 
久 ， 这 会 导致 额外 的 开销 。 在 大 多 数 宁 例 中 ， 高 峰 工作 负载 超过 实际 平均 负载 5 倍 到 1 倍 。 

公有 云 在 企业 中 被 广泛 采用 , 但 很 少 只 用 公有 云 的 。 基 于 企业 调查 , 公有 云 服务 通常 被 特定 
策略 工作 负载 采用 ， 而 私有 云 提供 各 种 更 多 元 化 的 服务 。 

绝 大 多 数 IT 企业 采用 了 混合 云 的 策略 ， 同 时 使 用 公有 云 和 私有 云 资 源 。 如 果 组 织 在 私有 云 
和 公有 云 服务 之 间 找 到 合适 的 平衡 ， 那 么 可 以 实现 企业 公有 云 的 真正 经 济 效益 。 

对 于 服务 提供 商 ，OpenStack 可 以 提供 可 用 于 构建 大 规模 的 全 球 云 资源 项 目 组 件 。 对 于 企业 
来 说 ，OpenStack 框架 可 以 用 来 部 署 私 有 云 服务 。 从 整合 的 角度 来 看 ， 基 于 OpenStack 的 公有 云 
和 私有 云 提 供 商 间 的 API 兼容 性 让 企业 可 以 基于 工作 负载 需求 优化 资源 的 消耗 。 


3A 构建 私有 云 
本 书 侧重 于 从 企业 的 角度 来 关注 OpenStack 作为 一 个 云 管理 框架 的 实现 ,而 不 是 作为 一 个 虚 
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拟 服 务 需 平台 。9.2 市 介绍 了 部 团 私 有 云 的 好 处 。 此 外 ， 还 介绍 了 及 用 混合 云 策略 的 好 处 ， 即 资 
源 可 以 基于 一 个 共同 的 OpenStack API 控制 设置 进行 管理 。 
将 本 闻 内 容 与 前 儿童 所 学 内 容 联系 在 一 起 ， 为 本 书 第 三 部 分 剩余 音节 的 学 习 做 好 准备 。 








9.3.1 OpenStack 部 署 工 具 

你 选择 的 部 署 工具 将 基于 你 现 有 的 供应 商 关 系 、 当 前 操作 策略 和 未 来 的 云 方 回 。 在 部 署 
OpenStack 时 有 3 种 方法 可 以 采用 。 

第 一 种 方法 是 本 书 第 二 部 分 介绍 的 手动 部 署 。 手 动 部 署 提 供 了 最 好 的 灵活 性 , 但 明显 的 问题 
是 规模 。 

第 二 种 方法 是 使 用 通用 的 编排 工具 ， 如 Ansible、Chef、Juju、Puppet 和 Vagrant， 可 以 用 来 
部 署 各 种 系统 和 应 用 。 精 通 一 系列 的 通用 编排 工具 不 但 可 以 部 署 OpenStack， 而 且 可 以 部 署 使 用 
OpenStack 资源 的 应 用 。 这 些 系统 的 缺点 是 每 个 工具 都 扮演 其 特定 的 角色 ， 因 此 最 终 使 用 各 种 通 
用 工具 ， 对 于 采用 这 种 策略 的 企业 ， 构 成 培训 和 运 彰 上 的 挑战 。 

第 三 种 方法 是 使 用 独立 的 OpenStack 部 署 和 管理 工具 ， 这 是 企业 中 一 种 常见 的 方法 。 
OpenStack 部 署 平 台 ( 如 HP Helion、Mirantis Fuel 和 Red Hat RDO ) 不 但 提供 易于 使 用 的 OpenStack 
部 署 工 具 ， 而 且 提 供 它 们 目 己 的 验证 OpenStack 版 本 和 部 署 的 方法 。 读 者 可 以 认为 这 是 与 Linux 
的 发 行 版 同样 的 方式 。 跟 Linux 内 核 类 似 ， 只 有 一 个 OpenStack 源 仓 库 〈 有 多 个 分 文 ) 给 社区 
开发 。 功 能 增强 和 修复 分 别 被 Linux 和 OpenStack 社区 接受 ， 然 后 以 它们 的 方式 接纳 到 各 目的 代 
码 仓 库 。 但 在 Linux 社区 中 ,厂商 为 它们 提供 支持 的 特定 用 例 验 证 社区 工作 。 就 像 你 为 提供 支持 
的 Linux 发 行 版 文 付费 用 而 不 会 为 Linux 内 核 文 付费 用 ; 当 购 买 一 个 商业 文 持 的 OpenStack 发 行 
版 时 ， 不 会 为 OpenStack 支付 费用 。 商 业 OpenStack 厂商 通常 为 它们 的 部 署 工 具 提 供 社区 支持 版 
本 一 一 其 中 一 个 工具 是 Mirantis Fuel， 将 会 在 第 11 章 介绍 。 





















































研究 、 大 数据 和 OpenStack 


对 于 那些 研究 计算 领域 的 人 来 说 ， 新 的 统一 基础 设施 管理 选项 出 现 了 。 传 统 高 性 能 计算 ( HPC ) 
领域 厂商 ， 如 Bright Computing 和 StacklIQ ， 正 在 转向 Hadoop 和 OpenStack。 这 些 厂商 ， 以 及 很 多 
其 他 厂商 ， 正 在 调整 它们 的 HPC 部 署 和 管理 平台 来 提供 对 HPC、Hadoop 和 OpenStack 部 署 的 整体 
管理 。 
在 很 多 IT 机 构 ， 从 大 型 机 时 期 开始 ,“ 系 统 程序 员 ” 一 直 用 于 描述 那些 没有 多 少 编 程 工作 量 
的 人 人。 然而， 在 一 些 组 织 中 ， 系 统 程序 员 这 个 角色 作为 DevOps 移动 的 一 部 分 ( 指 会 写 代 码 和 肢 
本 的 系统 管理 员 ) 已 经 获得 重生 。 一 个 习惯 于 通过 手动 双击 来 完成 虚拟 机 和 应 用 程序 部 署 的 系统 

















可 能 党 得 只 有 单一 的 OpenStack 部 署 工 具 会 很 有 限制 。 
基于 你 的 组 织 的 策略 方向 , 你 应 该 选择 的 方法 不 只 是 用 来 部 署 OpenStack, 还 要 可 持续 使 用 。 
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有 些 方 法 的 采用 可 能 需要 购买 商业 文 持 发 行 版 和 分 配 现 有 的 资源 与 文 持 的 厂商 共同 协作 。 另外 有 
些 组 织 可 能 会 选择 建立 DevOps 团队 ,不 但 有 人 能力 部 署 OpenStack， 而 且 在 私有 云 和 公有 云 提供 
商 间 进行 资源 和 应 用 的 编排 。 


9.3.2 私有 云 的 网 络 

在 9.1.2 节 中 ,我们 讨论 了 Nova 网 络 。 当 使 用 Nova 
网 络 时 ， 网 络 便 件 的 选择 不 是 很 重要 ， 因 为 OpenStack 只 
进行 了 少量 的 网 络 管理 。 然 而， 本 书 的 大 部 分 内 容 讨 论 的 区 
网 络 基 于 OpenStack 网 络 (Neutron )。 当 使 用 Neutron 时 ， 

对 网 络 硬件 和 软件 的 选择 就 非常 重要 ， 因 为 OpenStack 会 
对 你 的 网 络 进行 多 方面 的 管理 。 

在 编写 本 书 时 ， 已 经 有 一 些 广 商 提供 了 L3【〈 路 由 融 ) 
服务 ( 参见 https://www.openstack.org/marketplace/drivers/ )。 单 体式 厂商 插件 
为 L3 服务 可 能 由 OpenStack 提供 ,这 个 讨论 的 关注 点 与 
L2 的 选择 相关 。 从 Neutron L2 角度 来 看 ， 你 有 两 个 选择 。 

第 一 个 选择 是 使 用 一 个 社区 或 厂商 提供 的 单 体式 网 络 插 图 9-5 。 尝 体式 擂 件 来 构 
件 。 这 种 插件 被 看 成 是 单 体式 的 ， 因 为 所 有 L2 OpenStack 服务 必须 由 这 个 驱动 实现 ， 如 图 9-5 
所 示 。 








Neutron 















虚拟 的 








Neutron 分 布 式 虚拟 路 由 (DVR) 


Neutron DVR 子 项 目的 其 中 一 个 目标 是 在 计算 节点 提供 分 布 陈 路 由 ， 整 合 路 由 硬件 ， 以 及 在 节点 
间 迁 移 路 由 服务 。 虽 然 这 个 项 目 还 很 新 ,但 DVR 项 目 很 可 能 作为 绝 大 多 数 高 级 L3 厂商 服务 的 主要 整 


ES 
ee 


起 初 ， 单 体式 插件 是 整合 OpenStack 网 络 和 厂商 硬件 及 软件 的 唯一 方式 。 这 些 插件 的 其 中 一 
些 已 经 为 厂商 硬件 进行 了 开发 ， 包 括 Arista、 思 科 ( Cisco )、Melinox 、VMware 和 其 他 厂商 。 这 
种 方式 的 问题 是 插件 代码 必须 在 后 续 的 OpenStack 版 本 中 修改 ,即使 在 厂商 方面 没有 进行 任何 改 
动 。 参 与 从 OpenStack 代码 分 离 厂 商 特定 代码 的 努力 导致 在 Neutron L2 网 络 中 的 第 二 次 选择 , 在 
第 6 章 介绍 的 模块 化 层 2 (ML2 ) 插件 如 图 9-6 所 示 。 

ML2 插件 框架 允许 社区 和 厂 疝 提供 L2 支持 ， 比 使 用 单 体式 插件 更 轻松 。 绝 大 多 数 厂 商 ， 即 
使 是 那些 之 前 已 经 开发 了 单 体式 插件 的 厂商 , 现在 都 通过 为 它们 特定 的 技术 编写 实现 机 制 驱 动 来 
采用 ML2 插件 。 

根据 OpenStack 用 户 调查 ，Open vSwitch ( OVS ) 是 OpenStack 部 署 中 最 广泛 使 用 的 网 络 豫 
动 (独立 人 硬件、 软件 包 和 OpenStack 之 间 的 接口 )。 由 于 它 的 流行 性 ，OVS 被 用 于 作为 本 书 第 一 
部 分 和 第 二 部 分 的 网 络 驱 动 。 特 别 地 ， 使 用 ML2 术语 时 ，M1L2 插件 被 配置 使 用 GRE 类 型 驱动 
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和 OVS 实现 机 制 驱 动 。 通 过 结合 一 个 履 盖 网 络 (GRE ) 类 型 驱动 和 一 个 软件 交换 机 (OVS ), 我 

们 简化 了 交换 机 的 硬件 配置 ,降低 了 计算 和 网 络 市 点 之 间 的 简单 连接 的 难度 。 在 这 里 , 便 件 的 配 

置 是 很 简单 的 ， 因 为 

Neutron OVS 提供 了 虚拟 交换 

(传输 隔离 在 OVS 层 )， 

所 以 你 只 需要 关心 在 各 

个 服务 器 上 的 OVS 交 
换 机 能 互相 通信 。 

使 用 像 GRE 和 


很 多 好 处 ， 包 括 规模 和 
类 型 驱动 实现 机 制 驱动 灵活 性 ， 介 通常 使 用 履 
ee (OVS ) 也 有 相关 的 性 能 
成 本 。 在 第 11 章 中 ， 
VLAN 类 型 驱动 将 被 OVS 实现 机 制 驱动 使 用 。OYVS 仍然 是 网 络 驱 动 ， 但 OVS 利用 一 个 VLAN 
范围 而 不 是 重 登 连接 这 些 OVS 实例 。 在 第 11 章 的 例子 中 ，OVS 使 用 的 VLAN 必须 被 手动 配置 
在 交换 机 。 在 这 样 的 场景 下 ， 一 些 交 换 负 载 转移 到 便 件 交换 机 ， 一 些 仍 然 在 OVS。 
从 软件 到 硬件 转移 网 络 负 载 的 下 一 个 进程 是 使 用 处 理 便 件 设备 上 所 有 的 L2 操作 ( 这 可 能 是 
一 个 混合 的 硬件 和 软件 设备 ) 的 实现 机 制 驱 动 。 在 这 个 配置 中 ，OpenStack 的 网 络 操作 通过 网 络 
驱动 转变 为 厂商 特定 操作 。 这 并 不 意味 着 在 使 用 硬件 供应 商 实现 机 制 马 动 时 , 你 需要 使 用 VLAN 
作为 你 的 类 型 驱动 。 事 实 上 ， 有 许多 供应 商 管理 的 类 型 ， 包 括 非 常 强 大 的 VXLAN 类 型 驱动 ， 都 
转移 到 硬件 。 
跟 OpenStack 和 技术 的 大 多 数 事 情 一 样 ， 通 用 的 解决 方案 (通过 软件 ) 都 以 性 能 为 代价 (使 
用 专用 硬件 )。 你 必须 决定 软件 交换 和 重 炙 的 性 能 是 否 是 可 以 接受 的 ,或 者 是 否 你 的 私有 云 可 以 
通过 紧密 集成 OpenStack 的 网 络 和 供应 商 的 硬件 来 获得 性 能 上 的 好 处 。 


9.3.3 ”私有 云 存 储 


第 7 草 介 绍 了 使 用 Cinder 来 部 署 OpenStack 存储 方 点 ,存储 广 点 的 目的 是 为 虚拟 机 提供 块 存 
储 。 就 跟 Neutron 使 用 网 络 驱 动 来 与 底层 软件 和 人 硬件 网 络 资源 通信 一 样 , Cinder 使 用 存储 驱动 ( 参 
见 www.openstack.oreg/marketplace/drivers/ ) 与 存储 资源 通信 。 

在 第 7 章 中 ,一 个 LVM 配置 的 卷 被 Cinder 管理 ,在 那个 例子 中 ,一 个 LVM 存储 驱动 被 Cinder 
使 用 来 与 底层 LVM 子 系统 交互 。 被 LVM 卷 使 用 的 存储 设备 从 哪里 来 呢 ? 正如 9.1.3 节 所 讨论 的 ， 
LVM 卷 可 以 是 一 个 本 地 和 磁盘， 或 者 是 由 外 部 源 〈 如 一 个 SAN ) 提供 。 站 在 LYM 的 立场 ， 并 通 
过 与 Cinder 的 关系 ， 只 要 该 设备 在 Linux 内 核 中 显示 为 块 存储 设备 ， 它 就 能 被 使 用 。 但 这 个 跟 
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OVS 使 用 网 络 硬 件 作 为 物理 传输 类 似 。 通 过 LVM 的 底层 存储 设备 的 抽象 ， 你 会 失去 底层 存储 子 
系统 可 能 会 提供 的 很 多 高 级 存储 功能 。 就 跟 OVS 一 样 ,OpenStack 对 底层 物理 基础 设施 是 无 感知 
的 ， 存 储 功能 都 被 转移 到 软件 。 剃 运 的 是 ， 有 很 多 为 OpenStack 编写 的 Cinder 存储 驱动 ， 包 括 
Ceph、Dell、EMC、Fujitsu、Hitachi、HP、IBM 和 其 他 厂商 提供 的 存储 系统 的 驱动 。 跟 OpenStack 
网 络 一 样 ， 通 过 使 用 厂商 存储 驱动 来 集成 OpenStack 存储 与 软 便 件 存储 子 系统 ， 人 允许 OpenStack 
利用 底层 系统 的 高 级 功能 。 

基于 OpenStack 用 户 调 查 ，Ceph 存储 系统 被 使 用 在 大 部 分 OpenStack 部 署 中 。 由 于 它 在 
OpenStack 社区 的 流行 程度 和 它 包 含 在 很 多 独立 的 OpenStack 部 署 工 具 中 , 因此 第 10 章 专 门 介绍 
Ceph 部 轩 。 

跟 OpenStack 网 络 相 关 的 厂商 决策 类 似 ， 存 储 决 策 需 要 基于 你 当前 的 能 力 和 未 来 发 展 方 问 。 
虽然 它 在 OpenStack 社区 非常 流行 ， 但是， 如 果 你 的 企业 的 其 他 存储 是 EMC， 构 建 对 一 个 Ceph 
存储 集群 的 文 持 可 能 不 是 正确 的 选择 。 同 样 , 很 多 之 前 仅 在 高 端 阵列 的 高 级 存储 功能 现在 出 现在 
Cinder 中 或 者 由 于 私有 云 运 党 的 某 些 原因 是 不 需要 的 ， 因 此 购买 一 个 高 并 阵 列 可 能 不 是 必需 的 。 

当 你 继续 学 习 本 书 第 三 部 分 剩余 章节 内 容 时 , 思考 一 下 你 想 构 建 的 环境 类 型 ,对 于 某 些 类 型 ， 

个 特 革 构建 的 市 有 深度 厂商 集成 的 系统 可 能 是 最 适合 的 。 对 于 其 他 类 型 , 灵活 通用 的 部 署 可 能 
是 正确 的 选择 。 无 论 你 选择 哪 种 方式 ， 确 保 OpenStack 是 工作 中 合适 的 工具 ,你 的 组 织 可 以 很 好 
地 利用 OpenStack 框架 的 优势 。 
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图 如 生 你 把 虚拟 基础 设施 仅仅 当做 物理 物理 基础 设施 使 用 ， 那 么 你 的 环境 中 的 OpenStack 
汕 来 的 好 处 束 非 第 有 限 了 。 

图” 喜欢 手动 提供 基础 设施 的 系统 管理 员 可 能 认为 OpenStack 既 不 完整 又 不 是 必需 的 。 

加 ”对 云 计 算 的 优点 感 兴趣 的 系统 管 理 员 、 开 发 者 、 咨 询 师 、 架 构 师 和 IT 管理 层 会 把 
OpenStack 看 成 是 企业 的 一 种 分 布 式 技术 。 

图 条 望 使 用 OpenStack 作为 传统 虚拟 服务 天 基础 设施 蔡 代 品 的 用 户 会 发 现 Nova 网络 可 以 和 
他 们 现 有 的 环境 相 媲 美 ， 而 那些 想 构建 一 个 私有 云 的 用 户 可 能 会 使 用 Neutron 网 络 。 

国有 逢 望 使 用 OpenStack 作为 传统 虚拟 服务 需 基 础 设施 蔡 代 品 的 用 户 会 发 现 基 于 LVM 的 存储 
可 以 和 他 们 现 有 的 环境 相 姬 美 , 而 那些 想 构建 一 个 私有 云 的 用 户 可 能 会 使 用 Ceph 或 其 他 
厂商 特定 的 耳 接 挂 载 到 虚拟 机 的 存储 系统 。 

国 ”通过 采用 相关 技术 和 大 规模 提供 商 为 私有 云 准备 的 操作 实践 ， 企 业 可 以 为 最 佳 解决 方案 
制定 混合 云 战 略 。 
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图 ”为 Ceph 部 路 准备 服务 嘎 
图 ”使 用 ceph-deploy 工具 部 署 Ceph 
加 Ceph 基本 操作 


Ceph ( http://ceph.com ) 是 一 个 基于 RADOS ( http://ceph.com/papers/weil-rados-pdsw07.pdf ) 
的 开源 存储 平台 , 可 以 通过 商用 服务 需 提 供 块 、 文 件 和 对 象 级 别 的 存储 服务 。Ceph 工 作 在 一 个 分 
布 式 染 构 ， 目 标 是 通过 复制 用 户 和 集群 党 理 数据 来 消除 单 点 故障 。 那 么 为 什么 在 一 本 OpenStack 
的 书 中 用 一 章 来 介绍 Ceph 呢 ? 基于 OpenStack 社 区 的 用 户 调查 ，Ceph 是 最 广泛 使 用 的 OpenStack 
存储 “。 在 第 7 章 已 经 配置 Cinder 使 用 LVM 来 管理 卷 存储 ， 但 在 生产 部 署 中 ， 你 可 能 会 使 用 一 个 
Ceph 后 端 蔡 代 LVM 为 Cinder 提 供 存储 管理 。 

虽然 说 不 包含 Ceph 的 OpenStack 书 是 不 完整 的 ， 但 它 的 详细 设计 与 操作 超出 了 本 章 的 讨论 
范围 。 本 章 将 会 介绍 使 用 Ceph 开发 者 提供 的 ceph-deploy 部 署 工具 来 部 署 Ceph。 

在 本 草 将 会 用 到 两 种 类 型 的 节点 〈 商 用 服务 大 ): 资源 节点 Ceph 用 来 提供 存储 ， 以 及 一 
个 管理 节点 一 一 既 作 为 Ceph 客户 问 ， 也 将 作为 Ceph 供应 的 环境 。 














ce 准备 “新 也 节 点 


在 Ceph 的 架构 里 ， 资 源 节 点 可 以 进一步 细 分 为 Ceph 集群 运营 和 管理 的 节点 ， 以 及 提供 存 
储 的 节点 。 不 同类 型 的 Ceph 节点 见 表 10-1。 





Q) 参见 “OpenStack users share how their deployments stack up”，http:Wsuperuser.openstack.orey/articles/openstack- 
users-share-how-their-deployments-stack-up 
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节点 类 型 功能 








MON 监视 节 扣 维护 存储 集群 数据 映射 的 主 副本 
OSD 对 象 存储 设备 节点 提供 原生 数据 存储 
MDS 元 数据 服务 器 节点 存储 所 有 的 文件 系统 元 数据 《〈 目 录 、 文 件 所 有 权 、 访 问 模式 等 ) 


本 草 的 例子 基于 包含 6 个 Ceph 专用 物理 服务 锅 和 一 个 共享 管理 服务 需 的 Ceph 集群 。 节 点 、 
角色 和 地 址 见 表 10-2。 


表 10-2 Ceph 节点 


admin.testco.com 10.33.2.57 
sm0.testco.com 10.33.2.58 
sml.testco.com 10.33.2.59 
sm2 .testco.com 10.33.2.60 
sr0.testco.com 10.33.2.61 
srl.testco.com OSD 10.33.2.62 
sr2.testco.com OSD 10.33.2.63 


汇 


管理 节点 类 型 ”管理 节点 并 不 是 Ceph 架构 的 一 部 分 。 这 个 节点 只 是 在 专用 硬件 上 用 来 自动 部 署 


和 和 管理 Ceph 的 服务 器 。 


同步 时 间 


像 Ceph 这 样 的 分 布 式 系统 不 能 像 在 单个 计算 机 那样 可 以 依赖 于 中 心 时 钟 。 这 点 很 重要 ， 因 为 分 
布 陈 系统 决定 分 布 式 事件 的 顺序 的 一 种 方式 就 是 通过 分 布 式 节点 报告 的 时 间 惟 。 确 保 所 有 Ceph 集群 
的 节点 同步 时 钟 很 重要 。 特 别 地 ，MON 节点 默认 相互 之 间 必 须 报 告 一 个 50 ms 以 内 的 时 间 ， 人 否则 就 
会 产生 警告 进行 警示 ( 这 是 可 配置 的 ), 推荐 在 Ceph 节点 使 用 网 络 时 间 协 议 ( Network Time Protocol， 
NB 


部 署 Ceph 存储 集群 的 第 一 步 是 准备 好 节点 。Ceph 运行 在 商用 人 硬件 和 软件 上 , 就 跟 本 书 介 绍 


的 其 他 OpenStack 组 件 一 样 。 
首先 将 会 配置 市 点 认证 和 授权 信息 ， 然 后 在 节点 上 部 署 Ceph 软件 。 











10.1.1 节操 认 证 与 授权 
在 每 台 服 务 硕 上 ， 必 须 创 建 一 个 被 ceph_deploy 用 来 安装 和 配置 Ceph 的 用 户 。 使 用 代码 清 
单 10-1 所 示 的 命令 创建 一 个 新 用 户 。 


230 第 10 章 ”部署 Ceph 


代码 清单 10-1 创建 Ceph 用 户 


sudo useradd -Q /home/cephuser -m cephuser 





sudo passwd cephuser 
Enter new UNIX password: 
Retype new UNIX password: 


passwd: password updated successfully 


设置 没有 提示 的 密码 
或 者 ， 可 以 使 用 chpasswd 命令 来 执行 密码 更 新 : 


ecno "Cepnueer nsocroLl suao cnpasswd 


在 代码 清单 10-1 中 , 创建 了 一 个 名 为 cephuser 的 用 户 ， 密码 是 u$block01。 在 Ceph 节 
点 ，ceph_deploy 工具 需要 ( sudo ) 特权 访问 来 安装 软件 。 

通常 ， 当 使 用 像 代 人 码 清 单 10-1 一 样 的 特权 命令 时 ， 必 须 提供 sudo 密码 , 但 在 目 动 化 的 安 
疙 过 程 中 ,你 不 希望 为 每 一 次 提升 特权 的 调用 输入 密码 。 为 了 让 cephuser 调用 sudo 命令 时 
不 使 用 密码 ， 必 须 在 /etc/sudoers.d 目录 下 创建 一 个 sudoers 文件 让 系统 知道 cephuser 可 以 在 
不 用 提示 输入 密码 的 情况 下 运行 sudo 命令 ,运行 代码 清单 10-2 所 示 的 命令 以 适当 的 权限 创建 
sudoers 文件 。 











代码 清单 10-2 ”创建 sudoers 文件 


echo "cephuser ALL = (root) NOPASSWD:ALL" \ 


| sudo tee /etc/sudoers.d/cephuser 


sudo chmod 0440 /etc/sudoers.d/cephuser 
现在 已 经 创建 了 cephuser 用 户 ， 这 个 新 用 户 可 以 调用 sudo 命令 而 不 用 提示 输入 sudo 
密码 。 


Ceph 布点 间 认 证 


在 前 面 的 步 又 中 ,创建 了 cephuser 用 户 ,将 会 用 在 创建 的 本 地 服务 亿 上 。 如 末 你 只 有 少 
量 几 人 台 服 务 般 ， 登 录 到 每 台 服 务 表 运行 一 系列 脚本 是 没 问题 的 ， 但 如 果 有 10 人 台 或 者 100 合 服务 
船 呢 ? 要 完成 日 动 化 部 车 必需 的 认证 和 授权 步 又 ， 你 必须 配置 每 台 服 务 角 允许 cephuser 用 户 
在 没有 密码 提示 的 情况 下 进行 远程 的 基于 SSH 的 登录 。 

一 台 远 程 主机 可 以 不 用 密码 登录 为 一 台 主 机 并 不 意味 者 为 了 日 动 化 就 要 “牺牲 ”安全 。 要 理 
解 它 是 如 何 工作 的 ， 必 须 理解 SSH 的 基本 知识 。 虽 然 深 入 解释 SSH 超出 了 本 书 的 范围 ， 但 可 以 
充分 考虑 认证 远程 用 户 和 特定 本 地 用 户 的 两 种 可 能 的 方式 。 
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如 果 你 跟着 本 书 的 例子 ， 应 该 部 0. , 
悉 当 SSH 登录 时 提示 提供 密码 的 流 服务 器 A[ 私 钥 ] 服务 器 B[ 公 铀 ] 
程 。 但 有 一 种 可 替代 的 基于 密码 的 认 
证 方式 叫 作客 钥 对 认证 ， 公 钥 在 各 服 





验证 它 用 [ 公 钥 ] 
务 器 间 分 享 。 细 节 很 复杂 一 一 你 只 需 服务 器 A[ 私 钥 ] ee 
要 知道 如 果 服 务 器 A 分 享用 户 A 的 公 
2 和 电量 py 日 品 / 
钥 给 服务 需 B， 那 么 在 服务 需 B 上 的 用 [ 私 铀 | 


用 户 A 可 以 通过 服务 器 A 的 认证 而 不 | 服务 器 B[ 公 钥 ] 
用 提供 密码 。 上 述 关 系 如 图 10-1 所 示 。 

在 这 个 场景 下 ， 想 象 服务 器 A 是 
管理 节点 , 服务 器 B 是 一 个 资源 节点 。 
管理 节点 将 会 用 来 推送 自动 化 部 署 任 











务 到 资源 节点 ， 用 于 提供 相关 服务 。 服务 器 否 服务 器 | 

这 样 ， 从 管理 市 点 访问 很 多 资源 市 点 通过 认证 没有 通过 认证 | 
三 多 到 

个 需要 使 用 窗 码 。 10-1 SSH 密 钥 对 交换 流程 


SSH 密 钥 对 认证 ”就 像 一 个 服务 器 想 要 访问 其 他 服务 器 而 不 使 用 密码 一 样 ， 用 户 经 党 想 拥 有 同 
样 的 能 力 。 除 了 不 用 输入 密码 这 个 便利 之 外 ,这 种 认证 方式 无 须 以 明文 形式 存储 和 传输 密码 ， 这 
样 被 认为 是 比 只 使 用 密码 认证 更 安全 (如 果 使 用 密 钥 对 和 密码 )。 事实 上 ，OpenStack 提供 注入 密 
钥 对 到 虚拟 机 作为 实例 创建 流程 的 一 部 分 的 能 力 。 


在 你 的 管理 节点 ， 使 用 cephuser， 按照 代码 清单 10-3 所 示 的 步 又 创建 一 个 私 钥 / 公 钥 对 。 
确保 在 提示 输入 时 不 需要 提供 密码 , 否则 在 使 用 这 个 密 钥 对 时 也 会 提示 提供 这 个 密码 。 如 采 遇 到 
任何 问题 ， 你 都 可 以 重复 密 钥 对 创建 过 程 。 





代码 清单 10-3 ”在 党 理 节 点 创建 一 个 私 钥 / 公 钥 对 





$ ssh-keygen 

Generating public/private rsa key pair. 

Enter file in which to save the key (/home/cephuser/.ssh/id rsa): 
Created directory '/home/cephuser/.ssh'. 

Enter passphrase (empty for no passphrase): 

Enter same passphrase again: 

Your identification has been saved in /home/cephuser/.ssh/id rsa. 
Your public key has been saved in /home/cephuser/.ssh/id rsa.pub. 
The key fingerprint is: 
90:6c:09:3d:b8:19:5e:f0:27:be:4b:00:91:34:1d:72 cephuserladmin 
The key's randomart image is: 

+ 一 [ RSA 2048] 一 一 一 一 十 

| .二 OF 二 | 

| .=+++o | 
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现在 有 了 密 角 对， 还 要 分 发 公 钥 ( /home/cephuser/.ssh/id_rsa.pub ) 到 所 有 资源 节点 。 这 个 公 
钥 必 须 放 到 每 个 资源 节点 的 /home/cephuser/.ssh/authorized_keys 文件 里 。 竺 和 运 的 是 ， 有 一 个 称 为 
ssh-copy-id 的 工具 可 以 用 来 分 发 公 钥 。 在 这 个 管理 节点 ， 按 照 代 码 清单 10-4 所 示 的 过 程 分 发 你 
的 公 角 到 每 个 资源 节点 。 





代码 清单 10-4 ”从 管理 节点 分 发 公 铀 
$ ssh-copy-id cephuserlsm0 .testco .com 
/usr/bin/ssh-copy-id: INFO: 
attempting to log in with the new key(s), 


to filter out any that are already installed 
/usr/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed -一 
if you are prompted now it is to install the new keys 


cephuserQdsm0 .testco.com's password: [enter password] 
Number of key(s) added: 1 


Now try logging into the machine, with: 
"ssh "CephuserQsm0 .testco.com'™" 


and check to make sure that only the key(s) you wanted were added. 


当 以 用 户 cephuser 登录 到 管理 节点 时 ， 就 可 以 安全 地 以 用 户 cephuser 远程 登录 到 你 的 
资源 节点 。 另 外， 由 于 前 面 的 sudoers 配置 ， 你 现在 可 以 在 所 有 配置 的 市 点 上 执行 特权 命令 。 
下 一 市 将 会 安 疲 一 个 部 署 Ceph 的 目 动 化 工具 。 

















10.1.2 部署 Ceph 软件 

ceph-deploy 是 自动 化 部 署 Ceph 存储 的 一 系列 脚本 。 在 进行 抽象 烦琐 的 底 级 别 重复 性 任务 时 ， 
学 习 ceph-deploy 的 方法 能 让 你 在 组 件 层 面 理解 Ceph 是 如 何 工作 的 。ceph-deploy 不 像 其 他 通用 
的 编排 软件 包 ， 如 Ubuntu Juju (第 12 章 介 绍 )， 它 是 专门 用 来 构建 Ceph 存储 集群 的 。 它 不 能 
接 用 来 部 署 OpenStack 或 者 其 他 工具 。( 在 第 11 草 将 会 使 用 完全 目 动 化 OpenStack 部 署 工 具 来 部 
署 和 配置 OpenStack 使 用 的 Cepho。 ) 

按 代码 清单 10-5 所 示 在 管理 方 点 安装 ceph-deploy。 











代码 清单 10-5 ”安装 ceph-deploy 
$ wdet -dd -Oo- \ 


'nttps://ceph.com/git/?p=ceph.git;a=blob plain;f=keys/release.asc' \ 
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| sudo apt-key add 一 
OK 


$ echo deb http://ceph.com/debian-dumpling/ $ (lsb_release -sc) \ 


main: | sudo tee /ete/apt/aoutees, Lit /eephe List 


$ sudo apt-get update 
Hit http://ceph.com trusty InRelease 


Ign http://us.archive.ubuntu.com trusty InRelease 


Fetched 2,244 kB in 5s (423 kB/s) 


Reading package lists... Done 


$ sudo apt-det install ceph-deploy 

Reading package lists... Done 

Building dependency tree 

Reading state information... Done 

The following packages will be upgraded: 
ceph-deploy 


现在 已 经 在 管理 节点 安装 了 ceph-deploy， 下 一 步 将 会 配置 Ceph 集群 。 


cmp 创建 一 个 .si 集群 


本 市 将 会 介绍 如 何 部 署 一 个 Ceph 和 集群。 这 个 集群 可 以 用 来 为 OpenStack 提供 存储 资源 ， 包 
括 对 象 和 块 存储 。 


10.2.1 创建 初始 配置 


创建 一 个 Ceph 集群 的 第 一 步 是 创建 用 于 部 署 的 集群 的 配置 。 在 这 个 步骤 里 ， 配 置 文件 将 会 
在 管理 让 点 生成 。 
如 代码 清单 10-6 所 示 创 建新 的 Ceph 集群 配置 。 在 这 一 步 参 考 前 面 所 有 指定 的 MON 市 点 ， 











因为 它们 维护 存储 集群 数据 映射 的 主 副 本 。 
代码 清单 10-6 ”生成 初始 集群 配置 





$ ceph-deploy new sm0 sml sm2 

[ceph deploy.conf] [DEBUG | 

found configuration file at: /home/cephuser/.cephdeploy.conf 
[ceph_ deploy.cli] [INFO ] 

Invoked (1.5.21): /usr/bin/ceph-deploy new sm0 

[ceph_ deploy.new] [DEBUG |] Creating new cluster named ceph 


ceph_ deploy.new] [IDEBUG ] Resolving host sm2 
[ceph_ deploy.new] [DEBUG ] Monitor sm2 at 10.33.2.60 
[ceph_ deploy.new] [DEBUG |] Monitor initial members are 


['sm0', ‘'sml', 'sm2°'] 
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[ceph_ deploy.new] [DEBUG ] Monitor addrs are 
[10.3352558 “T103352.59" 7 T103325600| 

[ceph_ deploy.new] [DEBUG |] Creating a random mon key... 
[ceph_ deploy.new] [DEBUG | 

Writing monitor keyring to ceph.mon.keyring... 


[ceph_ deploy.new] [DEBUG ] Writing initial config to ceph.conf... 


修改 配置 的 最 后 机 会 ”你 的 初始 配置 文件 ceph.conf 通过 代码 清单 10-6 生成 。 如 果 想 要 对 配置 进 
行 任何 修改 ， 现 在 就 行动 ， 因 为 一 旦 集群 被 创建 ， 修 改 配置 文件 就 会 变 得 不 再 容易 。 在 你 的 部 署 
中 ， 参 考 可 能 适用 的 配置 洗 项 的 Ceph 文档 〈http:Wceph.com/docs/ master/rados/configuration/ 
ceph-conf/ )。 在 本 例 中 ， 我 们 将 会 使 用 默认 的 配置 。 





/home/cephuser/ceph.conf 文件 将 会 在 余下 的 部 署 中 使 用 。 查 看 这 个 文件 [global1] 标题 下 的 
内 容 ， 确 保 初 始 监 视 融 成 员 列 举 在 mon_initial_members 中 。 还 要 检查 mon_host 下 解析 
到 初始 成 员 的 正确 王 地 址 。 

下 一 步 是 在 所 有 资源 节点 安装 Ceph 软件 。 可 以 使 用 ceph-deploy 来 做 这 项 工作 。 


10.2.2 ”部 哮 Ceph 软件 

在 管理 节点 ， 以 cephuser 用 户 身 份 按照 代码 清单 10-7 所 示 的 步骤 为 每 个 资源 节点 安装 最 
新 版 本 的 Ceph。 在 ceph-deploy 命令 中 ， 可 以 使 用 完全 限定 域名 ( 如 sm0.testco.com ) 或 者 短 域 
名 ( 如 SmO 站 





代码 清单 10-7 部 署 Ceph 软件 到 资源 节点 
$ ceph-deploy install aqmin sm0 sml sm2 Sr0 srl sr2 
[ceph _ deploy.conf] [DEBUG | 
found configuration file at: /home/cephuser/.cephdeploy.conf 
[ceph_ deploy.clil] [INFO ] 
Invoked (1.5.21): /usr/bin/ceph-deploy install smo 


[sm0] [DEBUG | 


ceph version 0.87 


ceph-deploy 版 本 选择 


默认 情况 下 ，ceph-deploy 安装 过 程 会 使 用 最 新 版 本 的 Ceph。 如 果 你 需要 处 在 开发 分 支 中 的 新 
功能 ， 或 者 想 要 避 开 某 个 版 本 的 问题 ， 可 以 通过 下 面 的 命令 参数 来 选择 版 本 : 


国 一 -release <code-name> 
hole 
国 一 -dev <branch-or-tag> 


现在 已 经 在 管理 节点 安 狠 了 ceph-deploy, 在 资源 广 扣 安 猴 了 Ceph 软件 。 现 在 在 物理 市 点 有 
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了 所 有 用 来 配置 和 启动 Ceph 集群 的 组 件 。 下 一 步 ， 将 会 开始 集群 的 部 署 。 


删除 Ceph 


如 果 由 于 某 些 原因 你 想 要 从 资源 节点 删除 Ceph ( 或 许 你 想 把 硬件 用 作 它 用 )， 可 以 使 用 uninstall 
(只 删除 软件 ) 或 者 purge ( 删除 软件 和 配置 ). 
国 ceph-deploy uninstall [hostnamel 


国 ceph-deploy purge [hostnamel 


10.2.3 ”部 署 初始 配置 
输入 代码 清单 10-8 所 示 的 命令 , 依据 你 的 集群 配置 调整 参数 。 这 个 过 程 定义 Ceph 集群 内 的 
监视 节点 和 从 监视 节点 获得 密 钥 。 





代码 清单 10-8 添加 监视 市 点 和 获得 密 钥 





$ ceph-deploy mon create—-initial 


ceph-deploy mon create sm0 sml sm2 


[ceph_ deploy.mon] [DEBUG | 


Deploying mon, cluster ceph hosts sm0 sml sm2 


[smO0O] [INFO ] monitor: mon.sm0 is running 
[sml] [INFO ] monitor: mon.sml is running 
[sm2] [INFO ] monitor: mon.sm2 is running 


删除 MON 而 点 


可 以 使 用 下 列 命 令 从 你 的 集群 中 平滑 地 删除 一 个 MON 市 点 : 


ceph-deploy mon destroy [hostname |] 


如 果 你 想 减 少 一 个 节点 (格式 化 服务 器 ) 而 不 完成 这 一 步 ， 那 么 Ceph 集群 会 把 这 个 不 存在 
的 节点 当成 是 故障 状态 。 

现在 已 经 部 署 了 Ceph 集群 配置 和 激活 了 MON 节点 。 另 外 ， 从 MON 节点 获得 的 密 钥 现在 
应 该 存在 于 管理 节点 。 这 些 密 钥 是 提供 OSD 和 MDS 节点 必需 的 。 

在 进行 下 一 步 之 前 , 你 应 该 检查 以 确保 MON 节点 是 启动 和 运行 的 。 其 中 一 种 方式 是 使 用 Ceph 
客户 端 ， 在 代码 清单 10-7 中 部 署 。 但 在 使 用 Ceph 客户 端 之 前 ， 必 须 先 部 署 集群 的 客户 端 配置 。 

代码 清单 10-9 展示 了 如 何在 管理 节点 部 署 客户 端 配 置 。 这 个 过 程 可 以 在 你 希望 使 用 Ceph 
CLI 发 布 客户 端 命 令 的 任何 节点 上 重复 操作 。 
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代码 清单 10-9 ”部 署 Ceph 客户 端 配 置 





$ ceph-deploy admin admin 
[ceph _ deploy.conf] [DEBUG | 
found configuration file at: /home/cephuser/.cephdeploy.conf 
[ceph_ deploy.cli] [INFO ] 
Invoked (1.5.21): /usr/bin/ceph-deploy admin admin 
[ceph_ deploy.admin] [DEBUG ] Pushing admin keys and conf to admin 


[admin] [DEBUG | 


write cluster configuration to /etc/ceph/{cluster}.conf 


现在 你 的 客户 端 配 置 已 经 就 红 ， 使 用 代码 清单 10-10 所 示 的 命令 检查 集群 的 健康 状态 。 


代码 清单 10-10 ”检查 Ceph 健康 状态 





$ ceph 
ceph> health 
HEALTH_ERR 64 pgs stuck inactive; 64 pgs stuck unclean; no osds 


如 果 一 切 顺 利 ，Ceph 客户 端 就 会 返回 集群 的 当前 状态 报告 。 现 在 应 该 可 以 收 到 
HEALTH_ERR 结果 ， 因 为 你 还 没有 任何 OSD 节点 。 现 在 只 需 确保 Ceph CLI 可 以 与 集群 通信 。 
下 一 市 将 会 添加 存储 到 你 的 Ceph 集群 。 





cBXK ”添加 太 k% 资源 


现在 你 已 经 有 了 正常 运行 的 Ceph 集群 ， 但 还 没有 分 配 存储 到 这 个 集群 。 下 面 几 节 将 会 介绍 
站 十 作 
点 的 OSD 过 程 分 配 了 存储 资源 ， 报 告 在 集群 的 可 用 存储 将 会 增加 。 
一 个 典型 的 Ceph OSD 市 点 是 下 接 挂 载 多 个 物理 人 磁盘 的 物理 服务 带 。 在 技术 上 , 里 然 可 以 使 
用 任何 Ceph 支持 的 文件 系统 格式 化 (ext4、XFS 或 Btrfs ) 的 块 设备 , 但 考虑 到 经 济 和 性 能 因素 ， 
帝 见 的 是 百 接 挂 载 磁盘 。OSD 市 上 上 的 物理 人 磁 组 可 以 有 几 种 角色 ， 见 表 10-3。 





表 10-3 Ceph 0SD 设备 角色 


磁盘 类 型 朱 述 
系统 (System) OSD 节点 是 服务 器 运行 的 操作 系统 存储 
日 志 (Journal) 跟 数 据 资源 相关 的 变更 日 志 
数据 (Data) 存储 资源 





自 完 ， 查 看 一 下 OSD 市 点 上 的 物理 磁盘 。 表 10-4 展示 了 用 在 本 书 例子 环境 中 的 其 中 一 个 
OSD 节点 的 物理 磁盘 。 可 能 你 会 有 不 同 的 配置 ， 因 此 要 小 心 跟随 下 面 的 步 又 ， 在 需要 的 地 方 蔡 
换 合 适 的 设备 名 。 
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表 10-4 设备 分 配 


启 “多 用 过 
| 


正如 在 表 10-4 第 一 行 看 到 的 ,一 个 单一 的 逻辑 ( 物理 RAID ) 设备 正 用 于 操作 系统 存储 。 在 
这 个 特定 的 系统 ， 有 4 个 SSD 设备 作为 数据 驱动 的 日 志 卷 。 日 志 郑 用 来 临时 存储 跨 OSD 市 点 间 
复制 的 数据 ， 因 此 日 志 卷 的 性 能 非常 重要 。 虽 然 不 需要 有 单独 的 日 志 卷 ， 专 门 的 SSD 日 志 卷 的 
使 用 表明 已 经 有 ed bE 提升 。 本 示例 系统 的 存储 来 日 于 16 块 1TB 的 数据 卷 。 

下 一 步 ， 将 会 开始 识别 和 清除 步 又 ， 或 者 Ceph 所 说 的 擦 净 (zapping ) 你 的 存储 设备 。 

















10.3.1 准备 OSD 设备 


在 示例 系统 中 ， 一 个 OSD 市 点 上 有 21 块 逻辑 卷 ， 如 图 10-2 所 示 ， 整 个 示例 系统 总 共有 
63 块 。 





OSD 0 OSD | OSD 2 OSD 3 





/devisdb: 日 志 /dev/sdb: 日 志 /devisdb: 日 志 /devisdb: 日 志 
/dev/sdf 数据 /dev/sdf， 数 据 /dev/sdf， 数 据 /dev/sdf 数据 
/dev/sdu: 数据 /devisdu: 数据 /dev/sdu: 数据 /dev/sdu: 数据 


10-2 Ceph 0SD 节点 








在 手动 配置 里 ， 你 必须 登录 到 每 个 市 点 并 单独 准备 每 个 磁盘 。 斑 运 的 是 ，ceph-deploy 可 以 
用 来 远程 执行 这 些 任务 。 

这 个 过 程 的 第 一 步 是 识别 OSD 厄 点 上 的 设备 。 如 清单 10-11 所 示 在 每 个 OSD 节点 上 进行 操 
作 。 这 个 命令 应 该 从 管理 市 点 执行 。 
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代码 清单 10-11 列举 05D 节点 设备 


$ ceph-deploy disk list sr2 





[sr2] [DEBUG ] /dev/sdal other, vfat, mounted on /boot/efi 

[sr2] [DEBUG ] /dev/sda2 other, ext2, mounted on /boot 

[sr2] [DEBUG ] /dev/sda3 other，LVM2_membeI -一 一 

[sr2] [DEBUG ] /dev/sdb other, unknown 设备 sdb-sdu 将 会 被 Ceph 使 用 
[sr2] [DEBUG ] /dev/sdc other, unknown 


[sr2] [DEBUG ] /dev/sdu other, unknown 


从 决策 制定 的 角度 来 说 ,虽然 这 个 清单 不 是 很 全 面 ， 但 还 是 可 以 看 到 哪些 设备 可 以 被 
ceph-deploy 识别 。 需 要 确保 位 于 你 的 设备 分 配 表 ( 见 表 10-4 ) 中 的 所 有 设备 在 ceph-deploy 中 是 
可 见 的 。 





物理 -逻辑 设备 映射 


大 多 数 现代 服务 器 有 一 个 茶 种 类 型 的 磁盘 控制 器 。 黑 认 ， 大 多 数控 制 器 需要 每 个 物理 设备 或 设备 
组 可 以 被 配置 为 逻辑 设备 。 如 果 不 自动 化 执行 ， 这 将 是 一 个 很 耗 时 的 过 程 。 查 明 你 的 硬件 厂商 关于 目 
动 化 的 硬件 配置 工具 ， 这 个 工具 经 常 与 专门 的 硬件 管理 卡 结 合 在 一 起 使 用 。 

逻辑 磁盘 映射 到 设备 路 径 是 内 核 设 备 映射 器 的 工作 。 解 释 这 个 过 程 超出 本 书 的 范围 ， 只 需要 知道 
有 些 工具 可 以 显示 所 有 已 知 存储 设备 及 其 属性 。 例 如 ， 可 以 按 下 面 的 命令 使 用 fdisk: 


SG 人 EC 和 有 三 外 
现在 可 以 看 到 OSD 下 点 上 的 远程 磁盘 ， 需 要 对 它们 进行 一 些 操作 。 下 一 步 是 清除 (或 探 净 ) 


计划 使 用 的 设备 上 的 数据 和 分 区 信息 。 清除 设备 可 以 防止 任何 现 有 的 分 区 信息 干扰 Ceph OSD 的 
供应 。 





检查 设备 路 径 或 评估 数据 丢失 风险 ”下 一 步 ,将 会 清除 磁盘 信息 。 如 果 擦 净 一 个 包含 数 据 的 设备 ， 
将 会 毁坏 设备 上 的 数据 ， 因 此 要 确保 设备 路 径 正 确 。 


代码 清单 10-12 所 示 的 例子 显示 了 如 何 擦 净 OSD 节点 上 的 设备 。 这 个 过 程 必须 对 每 个 OSD 
方太 上 的 每 个 设备 (日 志和 数据 ) 重复 进行 。 


代码 清单 10-12 ”清除 05D 布点 上 的 磁盘 





$ ceph-deploy disk zap sr0:sdb 
[sr0O] [DEBUG ] zeroing last few blocks of device 
[sr0O] [DEBUG ] GPT data structures destroyed! 


You may now partition the disk using fdisk 


[srO] [INFO ] Running command: sudo partprobe /dev/sdb 
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一 旦 完成 在 所 有 作为 日 志 或 数据 设备 的 人 磁盘 上 重复 这 个 操作 ， 就 可 以 进行 磁盘 准备 工作 了 了。 


10.3.2 创建 OSD 


现在 已 经 识别 了 你 的 设备 和 它们 的 角色 , 也 已 经 清除 设备 上 的 数据 。 还 有 两 步 就 可 以 添加 存 
储 资 源 到 你 的 Ceph 集群 。 首 先 必 须 准 备 一 些 OSD， 巨 们 。 

正如 上 文 所 述 , 我 们 的 示例 系统 将 会 利用 4 块 专用 日 志 日 志 卷 的 故障 可 以 认为 是 使 
ee 由 于 这 个 原因 ， 在 特定 的 OSD ee # 上 ， 每 个 磁盘 的 1/4 共享 
一 个 日 志 。 在 OSD 磁盘 准备 期 间 ， 必 须 如 下 所 示 引 用 你 的 OSD 市 点 、 数 据 磁盘 和 日 志 磁 盘 : 


ceph-deploy osd prepare {node-name}:{disk}[:{path/to/journal}] 











OSD 磁盘 准备 的 输出 如 代码 清单 10-13 所 示 。 这 一 步 必 须 在 每 个 OSD 的 每 个 磁盘 上 进行 
代码 清单 10-13 ”0SD 磁盘 准备 





$ ceph-deploy osd prepare sr0:sdf:/dev/sdb 
[ceph_ deploy.osd] [DEBUG ] Deploying osd to sr0 


[sr0] [WARNIN] DEBUG:ceph-disk: 


Creating journal partition num 1 size 5120 on /dev/sdb 
[sr0] [WARNIN] DEBUG:ceph-disk:Creating xfs fs on /dev/sdfl1 


[ceph_ deploy.osd] [DEBUG ] Host sr0 is now ready for osd use . 


查看 Ceph 集群 活动 
可 以 通过 运行 下 面 的 命令 来 查看 Ceph 集群 的 活动 信息 : 
$ ceph -—w 


这 样 可 以 让 你 观察 系统 的 变化 ， 如 磁盘 的 准备 和 激活 状态 。 


现在 完成 了 集群 每 个 OSD 的 每 个 磁盘 的 准备 。 在 我 们 的 例子 集群 中 , 有 3 台 OSD 服务 妖 和 
48 块 数据 卷 ， 准 备 了 12 块 日 志 卷 ( 见 图 10-2 )。 


激活 0SD 卷 
在 下 一 步 ， 也 就 是 最 后 一 步 ， 将 会 为 每 个 OSD 激活 OSD 卷 ， 如 代码 清单 10-14 所 示 。 





代码 清单 10-14 05SD 磁盘 激活 


$ ceph-deploy osd activate sr0:/dev/sdfl:/dev/sdbl 





[sr0] [WARNIN] DEBUG:ceph-disk:Starting ceph osd.0... 
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现在 完成 了 Ceph 集群 所 有 的 OSD 激活 。 检 查 集 群 健康 情况 和 状态 , 如 代码 清单 10-15 所 示 。 


代码 清单 10-15 ”Ceph 健康 情况 和 状态 
$ ceph health 
HEALTH_OK 





$ ceph -s 
cluster 68d552e3-4e0a-4a9c-9852-a4075a5a99a0 
health HEALTH OK 


monmap el: 3 mons at 


pgmap v39204: 2000 pgs, 2 pools, 836 GB data, 308 kobjects 
1680 GB used, 42985 GB / 44666 GB avail 


2000 activetclean 


现在 已 经 完成 了 Ceph 集群 的 基本 部 车。 下 一 节 将 会 介绍 一 些 基 本 操作 ， 包 括 基 准 测试 。 











从 头 开 始 


输入 错误 的 值 ? 遇 到 卫生 的 错误 ? 想 要 改变 你 的 设计 ? 自动 化 的 部 分 好 处 是 有 能 力 快 速 和 轻松 
地 重新 开始 整个 过 程 。 
在 管理 节点 ， 你 可 以 按照 下 列 步 又 完全 清除 ceph-deploy 安装 的 环境 


ceph-deploy purge {node-namel} 
ceph-deploy purgedata {node-name} 
ceph-deploy forgetkeys 


清除 环境 的 过 程 如 本 章 所 描述 的 那样 ， 如 下 所 示 : 


ceph-deploy purge admin smo sml sm2 sr0 srl sr2 
ceph-deploy purgedata admin sm0O sml sm2 sr0O srl1 sr2 


ceph-deploy forgetkeys 


ceM Ji 基本 操作 


现在 有 了 一 个 Ceph 和 集群， 虽然 完全 目 动 化 的 OpenStack 和 Ceph 部 署 系 统 将 会 在 第 11 章 介 
绍 ， 但 应 该 先 了 解 一 些 Ceph 的 基础 知识 。 本 市 介绍 如 何 创建 Ceph 存储 池 ( pool ) 和 对 Ceph 集 
群 进行 基准 测试 。 


10.4.1 Ceph 存储 池 

如 上 文 所 述 ， 完 全 介绍 Ceph 需要 另 写 一 本 书 ， 因 此 这 里 只 会 介绍 最 低 限 度 的 配置 和 操作 。 
需要 理解 的 是 Ceph 存储 池 的 概念 。 存 储 池 ， 顾 名 思 义 ， 是 用 户 定义 的 存储 组 ， 很 像 OpenStack 
里 面 的 租户 。 存 储 池 通 过 特定 参数 创建 ， 这 些 参数 包括 目 恢 复 力 类 型 (resilience type )、 归 置 组 
(placement groups )、CRUSH 规则 ( CRUSH rules ) 和 所 有 者 (ownership )， 见 表 10-5。 





属 性 


目 恢复 力 类 型 








归 置 组 


CRUSH 规则 


所 有 者 
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表 10-5 Ceph 存储 池 属 性 
搞 述 
目 恢复 力 类 型 指定 你 想 如 何 避 免 数据 丢失 ， 以 及 你 希望 确保 不 出 现 数据 丢失 的 程度 。 有 复制 
和 纠 删 码 两 种 类 型 。 默 认 的 复制 目 恢复 力 水 平 是 两 个 副本 


归 置 组 定义 用 于 在 OSD 间 跟 踪 数 据 的 数据 对 象 的 聚合 上 度 。 简 而 言 之 ， 在 OSD 间 指 定 你 想 放 
置 数 据 的 组 的 数量 

这 些 规则 被 用 来 确定 在 何 处 和 如 何 放 置 分 布 的 数据 。 现 有 的 不 同 规则 基于 归 置 的 适当 性 。 例 
如 ， 对 于 跨 地 域 的 一 个 存储 池 ， 用 于 一 个 单一 人 硬件 机 架 的 数据 布局 规则 可 能 不 是 最 好 的 ， 
此 可 以 使 用 不 同 的 规则 


通过 用 户 D 定义 一 个 特定 存储 池 的 所 有 者 



































现在 你 已 经 了 解 了 Ceph 存储 池 的 基本 属性 ， 如 代码 清单 10-16 所 示 创 建 一 个 存储 池 。 


代码 清单 10-16 


创建 Ceph 存储 池 





ceph osd pool create {pool-name} {pg-num} [{pgp-num}] \ 


[replicated] 


[crush-ruleset—-namel] 


在 例子 Ceph 集群 里 使 用 指定 的 命令 : 


$ ceph osd pool create mypool 2000 2000 


Pool ‘mypool' 


$ ceph health 


created 


HEALTH_ WARN 1959 pgs stuck inactive; 1959 pgs stuck unclean 


$ ceph health 


HEALTH_ OK 





在 这 个 例子 中 ,创建 了 一 个 名 为 “mypool” 的 存储 池 ， 有 2000 个 归 置 组 。 注 意 ， 在 本 例 中 ， 
存储 池 创 建 后 执行 了 两 次 “健康 ”检查 。 第 一 次 检查 结果 是 HEALTH_WARN， 因 为 归 置 组 正在 多 
个 OSD 上 进行 创建 。 一 旦 归 置 组 创建 好 ， 集 群 报告 为 HEALTH_OK。 

下 一 步 ， 将 会 使 用 刚 创建 的 存储 池 对 集群 性 能 进行 基准 测试 。 





10.4.2 对 Ceph 集群 进行 基准 测试 


基于 读 号 比例 ， 以 及 数据 速率 和 大 小 ， 有 多 种 方法 对 一 个 存储 系统 进行 基准 测试 。 因 此 ， 岂 
乎 有 数 不 清 的 配置 选项 可 以 对 存储 系统 进行 优化 ， 包 括 从 Linux 内 核 如 何 管 理 低级 别 的 IO 操作 
到 文件 系统 的 块 大 小 ,或 者 Ceph 市 点 间 的 数据 分 布 在 内 的 一 切 。 和 幸运 的 是 ,存储 提供 者 ( 如 Ceph ) 
在 创建 系统 范围 的 默认 值 来 涵盖 通 篆 的 存储 工作 负载 配置 这 方面 做 得 很 好 。 

你 现在 可 以 使 用 Ceph 基准 测试 工具 来 测试 你 的 Ceph 集群 。 这 种 基准 测试 将 会 在 存储 池 级 
别 进行 ， 因 此 按照 Ceph 架构 ， 这 种 基准 测试 可 以 当成 吓 低级 别 和 代表 核心 系统 性 能 的 测试 。 
如 有 果 你 的 系统 在 这 个 级 别 很 慢 ， 那么 在 更 高 的 抽象 级 别 只 会 更 差 .因为 增加 了 和 额外 的 影响 性 能 


的 约束 。 
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1.， 写 基 准 测试 
将 会 使 用 Ceph 提供 的 rados 工具 来 执行 在 前 面 小 节 创 建 的 存储 池 的 写 基准 测试 。rados 命 
令 语 法 如 代码 清单 10-17 所 示 。 


代码 清单 10-17 Ceph 存储 池 基 准 测试 工具 


rados -p mypool bench <seconds> write|seqg|rand \ 





[-t concurrent operations] [--no-cleanup] 
--no-cleanup 标记 将 会 保留 在 存储 池 进行 写 测试 时 生成 的 数据 ， 这 是 谈 测 试 所 需 的 。 
最 好 在 管理 市 点 执行 测试 ， 因 为 其 他 Ceph 市 点 参与 存储 的 管理 。 代 码 清 单 10-18 是 这 样 的 
例子 。 








代码 清单 10-18 Ceph 写 基 准 测试 


$ rados -p mypool bench 60 write --no-cleanup 


Maintaining 16 concurrent writes of 4194304 


bytes for up to 60 seconds or 0 objects 


Total writes made: 16263 





Write size: 4194304 

Bandwidth (MB/sec): 1083.597 2 、 He 
) 60 秒 平均 写 市 宽 

Stddev Bandwidth: 146.055 

Max bandwidth (MB/sec): 1164 

Min bandwidth (MB/sec): 0 


Average Latency: 
Stddev Latency: 





.0590456 pa 
60 秒 平均 写 延迟 


.0187798 
.462985 
.024006 


Max latency: 


Min latency: 


0 
0 
0 
0 
在 这 个 例子 中 ,平均 写 带 宽 是 1083 MB/s, 超 过 理论 的 1250 MB/s 最 大 带宽 ( 10 千 兆 以 太 网 )。 


2. 读 基准 测试 


现在 可 以 按 代码 清单 10-19 所 示 进 行 随机 读 测 试 。 记 住 ， 如 果 在 前 面 步 又 中 不 指定 
--no-cleanup， 就 会 出 现 错误 。 


代码 清单 10-19 Ceph 读 基准 测试 


$ rados -p mypool bench 60 rand 





Total time run: 60.061469 
Total reads made: 17704 





60 秒 平均 读 带 宽 


Read size: 4194304 鞠 
Bandwidth (MB/sec): 1179.059 i 


Average Latency: 0.0542649 一 一 ~ 60 秒 平 均 读 延 迟 


Max latency: 


Min latency: 


在 本 例子 中 ， 随 机 读 的 
人 们 期 望 得 到 更 高 的 数值 。 


3， 磁盘 延迟 基准 测试 
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0.323452 
0.011323 


带宽 是 理论 最 大 10 GB 带宽 1250 MB/s 的 94% 。 在 连续 基准 测试 中 ， 


虽然 珊 宽 是 网 络 和 磁盘 行 吐 量 很 好 的 一 个 指标 , 但 对 于 虚拟 机 工作 负载 更 好 的 性 能 指标 是 


磁盘 延迟 。 在 前 面 的 例子 中 ， 默 认 的 并 发 ( 同时 读 或 写 的 数量 ) 是 16。 代 码 清单 10-20 和 代码 
清单 10-21 显示 并 发 级 别 为 500 的 相同 基准 测试 。 


代码 清单 10-20 “检查 写 延 迟 





$ rados -p mypool bench 


Total time run: 


60 write -no-cleanup -t 500 














60.158474 
Total writes made: 16459 
Write size: 4194304 
Bandwidth (MB/sec): 1094.376 
Stddev Bandwidth: 236.015 二 一 一 一 一 一 提高 了 带宽 标准 偏差 
Max bandwidth (MB/sec): 1200 
Min pbandwidth (MB/sec): 0 
Average Latency: li G75 极 大 地 提高 了 延迟 
Stddev Latency : 0.18336 
Max latency: 2.08297 
Min latency: 0.155176 


代码 清单 10-21 检查 读 延 迟 





$ rados -p mypool bench 


60 rand -t 500 








Total time run: 60.846615 

Total reads made: 17530 

Read size: 4194304 

Bandwidth (MB/sec): 1152.406 

Average Latency: 1.70021 极 大 地 提高 了 延迟 
Max latency: 1.84919 

Min latency: 0.852809 


从 这 些 例 子 可 以 看 出 ,在 这 两 种 情况 下 ,并 发 后 的 当前 读 和 写 的 最 大 延迟 增长 了 4 信 。 或 许 
更 加 值得 注意 的 是 ， 最 小 读 延 述 提 高 了 将 近 3 个 数量 级 。 


了 解 你 的 MTU 


最 大 传输 单元 ( Maximum Transmission Unit，MTU ) 是 网 络 能 通过 的 最 大 通信 单元 。Ceph 节 


244 第 10 章 部 署 Ceph 


点 使 用 IP 通信 ， 必 须 定 义 它 的 MTU。MTU 在 网 络 交换 机 和 服务 器 接口 定义 。 通 常 ， 默 认 的 MTU 值 
是 1500 字 节 ( byte )， 和 意味 着 传输 6000 字 节 的 有 效 载 傈 必须 至 少 发 送 4 个 网 络 包 。 小 的 MTU 创建 
小 的 网 络 包 被 存储 网 络 使 用 ， 这 样 会 创建 更 多 的 数据 包 ， 导 致 网 络 开销 的 增加 。 通 过 在 存储 节点 增加 
MTU 的 值 到 一 个 通常 称 为 巨型 帧 ( jumbo frame， 大 约 9000 字 节 ) 的 范围 ， 有 效 荷 载 就 可 以 利用 一 
个 单一 数据 包 传 输 。 

本 书展 示 的 例子 启用 巨型 帧 。 在 本 节 的 基准 测试 中 ， 使 用 默认 的 1500 字 节 的 MTU， 会 让 囊 宽 值 
比 使 用 巨型 由 要 少 超 过 40% 。 


这 个 基本 的 基于 存储 池 的 基准 测试 方法 可 以 用 来 判定 Ceph 集群 的 底层 性 能 。 查 看 Ceph 在 
线 文档 ( http://ceph.com/docs/master/rados/operations/pools/ ) 和 体验 不 同 的 系统 范围 和 存储 池 配 置 。 


cEX 小 结 


Ceph 是 一 个 基于 通用 ( RADOS ) 后 端 存 储 平台 的 高 扩展 性 集群 存储 系统 。 
Ceph 可 以 使 用 商用 服务 需 提 供 块 、 文 件 和 对 象 级 别 的 存储 服务 。 

绝 大 多 数 的 OpenStack 部 署 使 用 Ceph 存储 。 

ceph_deploy 是 用 来 部 署 Ceph 集群 的 一 系列 脚本 。 

在 Ceph 中 ， 用 户 定 义 的 存储 分 组 称 为 存储 池 。 











第 11 章 使 用 Fuel 进行 日 动 化 的 高 可 
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本 章 主要 内 容 

国 ”为 Fue| 准备 环境 

图 ”安装 Fuel 服务 器 

国 使 用 Fuel 部 署 OpenStack 


本 章 沉 示 如 何 使 用 Fuel 进行 目 动 化 的 高 可 用 (HA ) OpenStack 部 署 。 

这 种 部 署 类 型 被 描述 为 自动 化 的 , 因为 你 将 准备 上 自动 化 部 署 的 便 件 和 定义 环境 , 然后 目 动 化 
工具 会 在 你 的 环境 执行 部 署 OpenStack 需要 的 所 有 步骤 ,包括 第 $ 章 至 第 8 章 介绍 的 OpenStack 
组 件 的 部 车 和 第 10 章 介 绍 的 Ceph 的 部 署 。 高 可 用 指 的 是 使 用 多 个 OpenStack 控制 硕 的 架构 设计 。 

在 第 2 章 中 辐 该 者 介绍 了 DevStack 自动 化 工具 。 这 个 工具 执行 OpenStack 部 署 相 关 的 自动 
化 任务 , 但 它 被 设计 作为 一 个 开发 工具 ,而 不 是 为 了 部 蜀 生 产 环境 。 一 个 生产 集中 的 自动 化 工具 
必须 比 人 简单 的 配置 和 安装 OpenStack 做 更 多 事情 ; 它 还 必须 处 理 环境 准备 事宜 ， 如 操作 系统 的 安 
狐 和 服务 帮 问 的 网 络 配 置 。 本章 演示 的 工具 不 会 执行 栈 的 这 个 底层 , 但 有 些 自动 化 工具 事实 上 也 
会 配置 网 络 便 件 。 生 产 集中 的 目 动 化 工具 必须 是 可 审查 的 、 可 重复 的 、 稳 定 的 ,并 且 可 以 提供 商 
业 文 持 的 选项 。 

高 可 用 要 求 部 署 的 环境 在 一 定 程 度 的 限制 下 还 可 以 继续 运营 ,即使 特定 组 件 出 故障 。 本 书 的 
第 2 章 和 第 二 部 分 介绍 的 部 署 使 用 单个 控制 硕 。 在 这 些 类 型 的 部 署 中 , 如 条 控制 硕 服 务 硕 或 它 的 
其 中 一 个 依赖 (如 MySQL DB ) 出 现 故 障 ， 则 你 的 OpenStack 部 署 失败 。 在 这 个 单个 控制 器 重新 
恢复 运行 之 前 ,不 能 对 你 的 基础 设施 进行 改变 。 在 本 章 演 示 的 高 可 用 部 署 中 ,即使 一 个 控制 硕 不 
可 用 ， 该 部 署 依然 正 背 运行 。 控 制 希 了 解 相 互 的 状态 ， 因 此 ， 如 果 一 个 控制 硕 检 测 到 故障 ， 服 务 
就 会 重 定 回 到 其 他 控制 器 。 

本 草 介 绍 的 OpenStack 部 署 工具 称 为 Fuel。Fuel 由 Mirantis 公司 (www.mirantis.com ) 开发 
并 于 之 后 ( 2013 年 ) 开 源 。 在 2015 年 年 底 , OpenStack 基金 会 正式 批准 Fuel 作为 它们 的 “Big Tent” 
( governance.openstack.org/reference/projects ) 项 目 管理 模型 的 一 部 分 。 有 很 多 其 他 OpenStack 生 
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产 自 动 化 工具 正在 开发 中 ， 但 我 选择 Fuel 作为 演示 工具 ， 因 为 它 的 成 熟 度 、Mirantis OpenStack 
代码 的 稳定 性 、 企 业 生产 部 蜀 数 量 和 商业 支持 的 可 用 性 。 虽 然 本 草 使 用 Fuel 演示 高 可 用 的 
OpenStack 部 署 ， 但 是 无 论 使 用 哪 种 工具 ， 很 多 步骤 是 相同 的 。 

首先 要 准备 好 你 的 环境 ， 然 后 部 署 Fuel 工具 ， 最 后 使 用 Fuel 部 署 你 的 OpenStack 环境 。 





我 们 讨论 的 是 哪个 版 本 的 OpenStack 


在 一 个 生产 环境 中 的 问题 不 只 是 你 想 使 用 哪个 版 本 的 OpenStack, 还 需要 考虑 使 用 的 代码 或 软件 
包 的 维护 者 。 

在 本 书 的 第 一 部 分 ， 你 使 用 DevStack 直接 从 社区 源 ( https://github.com/openstack/ ) 获取 
OpenStack 代码 。 在 本 书 的 第 二 部 分 ， 你 使 用 Upuntu CloudArchive ( https://wiki.ubuntu.com/ 
ServerTeam/CloudArchive#lcehouse ) Icehouse 软件 包 ( 在 Ubuntu 14.04 LTS 里 默认 的 )。 本 和 草 不 
只 是 使 用 Fuel 部 署 OpenStack， 还 会 使 用 Mirantis OpenStack 版 本 的 OpenStack。 

就 像 不 同 的 Linux 发 行 版 维护 它们 自己 的 内 核 和 用 户 级 的 软件 包 ，OpenStack 也 是 如 此 。 确 定 适 
合 的 生产 OpenStack 部 署 工 具 包 括 评估 厂商 特定 的 OpenStack 软件 包 和 部 署 工 具 的 能 力 。 


co&e 准备 你 的 环境 


“要 求 交 钥 是 式 ” 的 自动 化 通常 提供 一 个 汽车 购买 体验 的 情景 。 你 在 虚线 上 签名 ， 售 贷 员 会 
给 你 钥匙 ， 然 后 ， 你 像 一 只 目 由 的 小 岛 ， 在 开阔 的 道路 上 驰 怠 。 很 遗憾 ,不 存在 标准 装配 线 式 的 
OpenStack 部 署 , 因此 在 OpenStack 领域 没有 标准 的 部 署 文 持 模型 。 例 如 , 一 个 Windows 或 Linux 
管理 员 ， 至 少 达 到 基本 的 水 平 ， 就 可 以 领会 在 任何 地 方 的 Windows 或 Linux 实例 的 安装 。 这 些 
系统 的 规则 普 这 适用 。 从 部 署 的 角度 来 看 ， 这 种 普遍 的 规则 不 存在 于 OpenStack “ 云 操作 系 
统 ”。 当 然 ， 这 是 本 书 的 预期 效益 : 充分 理解 该 框架 ,以 便 在 出 现 故 障 ， 或 自动 化 工具 发 展 时 ， 
你 可 以 理解 底层 的 东西 。 

准备 一 个 目 动 化 部 署 环境 并 配置 它 比 手动 部 蜀 一 个 小 型 环境 可 能 需要 花费 更 多 时 间 。 但 对 于 
企业 来 说 , 即使 在 小 型 部 署 中 使 用 上 自动 化 工具 也 是 很 有 帮助 的 。 在 本 书 第 二 部 分 完成 的 任务 是 有 
帮助 的 ， 可 以 重复 进行 、 可 以 购买 支持 和 行动 可 以 被 追踪 ,如果 需要 的 话 ， 还 可 以 审查 。 


11.1.1 网络 硬件 


在 第 2 草 和 第 6 章 中 ， 该 者 可 能 注意 到 OpenStack 的 Neutron 网 络 组 件 可 能 会 使 人 困惑 ， 
为 企业 系统 和 网 络 管 理 员 通 常委 以 重任 ,系统 管理 员 通 常 不 会 处 理 网 络 虚 拟 化 、 路 由 上 兹 和 重 车 等 ， 
同样 网 络 管理 员 通 常 不 会 人 处理 虚拟 服务 帮 环 境内 部 的 事情 。 

诚然 ,有 很 多 可 变动 的 选项 来 管理 和 配置 .如 果 对 路 由 需 和 交换 机 配置 只 有 有 限 的 操作 理解 ， 
难 将 会 被 放大 。 即 使 对 路 由 和 交换 有 很 好 的 理解 ， 可 能 也 不 能 直接 访问 网 络 人 硬件 进行 改动 。 或 
者 , 如 果 可 以 直接 访问 OpenStack 部 署 的 网 络 硬件 , 可 能 也 没 能 力 分 配 自己 的 地 址 和 VLAN 或 配 
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置 上 游 的 网 络 便 件 。 随 着 阅读 本 章 ， 你 可 以 做 这 些 事情 ,或 者 让 其 他 人 为 你 做 这 些 事情 。 


非 标记 VLAN 和 标记 VLAN 


IEEE 802.1Q 网 络 标准 提供 了 通过 添加 信息 到 以 太 网 帧 来 指定 一 个 虚拟 网 络 的 能 力 。 虚 拟 局 域 网 
(VLAN ) 作为 OSI L2 功能 ， 人 允许 管理 员 可 以 做 诸如 把 一 个 交换 机 划分 成 隔离 的 L2 网 络 和 分 配 多 个 
VLAN 给 一 个 单个 的 物理 trunk 接口 之 类 的 事情 。 当 说 一 个 VLAN 是 标记 VLAN ( tagged VLAN ) 的 时 
候 ， 该 以 太 网 帧 包含 802.1Q 头 部 指定 它 的 VLAN。 同 样 ， 当 以 太 网 帧 不 包含 802.1Q 头 部 时 ， 就 说 它 
是 非 标 记 VLAN ( untagged VLAN )。 交 换 机 通过 标记 帧 ( 在 同一 问 口 的 多 个 VLAN ) 与 彼此 通信 ， 而 
服务 器 一 般 使 用 非 标记 帧 ( 每 个 端口 一 个 VLAN )。 

正如 第 6 章 中 介绍 的 , 在 OpenStack 中 ,你 的 服务 器 像 交换 机 一 样 运行 ， 跟 交换 机 一 样 会 使 用 标 
记 或 非 标记 的 VLAN。 理解 这 个 概念 对 接 下 来 的 学 习 很 重要 。 本 书 的 例子 在 物理 交换 机 和 服务 器 的 物 
理 网 络 接 口上 都 使 用 标记 VLAN。 


1. 配置 部 署 网 络 


本 节 要 完成 以 下 3 件 事 : 

图 ”确保 可 以 与 你 的 目 动 化 (Fuel ) 服务 需 通 信 ; 

国 硝 认 你 的 目 动 化 服务 硕 可 以 连接 所 有 主机 服务 硕 ; 

国 确保 你 可 以 通过 齐 外 网 络 访问 你 的 目 动 化 和 主机 服务 融 。 

本 章 演 示 的 部 署 使 用 两 个 独立 的 物理 网 络 : 自动 化 管理 网 络 和 带 外 ( out-of-band，OOB ) 网 
络 。 管 理 网 络 被 自动 化 系统 用 来 在 操作 系统 和 OpenStack 级 别管 理 主机 服务 器 。OOB 网 络 用 来 
在 便 件 级 别 访问 和 配置 服务 天 。 











跟 爱 自己 一 样 爱 你 的 00B 网 络 


工作 在 没有 OOB 网 络 的 OpenStack 或 任何 大 型 系统 ,就 像 工 作 在 空中 飞行 的 飞行 器 引擎 里 一 样 。 
自动 化 部 署 的 OOB 网 络 的 重要 性 不 可 能 被 过 分 夸大 。 你 也 许 能 够 在 你 的 现 有 环境 的 物理 连接 的 控制 
人 台 或 手动 部 署 中 运行 。 但 在 自动 化 部 署 的 提供 过 程 中 , 需要 远程 访问 以 配置 服务 器 的 硬件 方面 。 例如 ， 
配置 硬件 磁盘 控制 器 或 服务 器 上 的 启动 设备 顺序 ， 不 只 是 远程 控制 ， 还 要 以 编程 的 方式 。 

在 一 个 系统 或 网 络 管理 员 心 中 ， 没 有 比 失去 OOB 网 络 访问 更 恐惧 的 事情 了 ， 这 意味 着 一 个 数据 
中 心 的 访问 。 


这 些 网 络 如 何 使 用 将 会 在 下 面 的 小 节 中 介绍 , 但 现在 需要 充分 了 解 , 本 例 将 在 两 个 独立 的 网 
络 接口 为 每 台 服 务 器 使 用 两 个 非 标记 (VLAN ) 网 络 作为 管理 和 OOB 网 络 。 


2. 配置 交换 机 上 行 端口 
为 了 能 实际 使 用 你 的 管理 交换 机 ， 需 要 配置 一 个 上 行 到 一 个 现 有 的 网 络 。 演 示 部 署 的 物理 
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网 络 拓扑 如 图 11-1 所 示 。 图 11-1 显示 了 上 行 与 管理 交换 机 及 一 个 单一 的 OpenStack 主机 之 间 
的 天 不 


标记 VLAN 95 和 96 
(1 个 端口 ， 多 个 VLAN) 


管理 交换 机 


管理 网 络 被 自动 化 系统 用 来 
在 操作 系统 和 OpenStack 级 
别 《PXE 启 动 、 操 作 系统 更 
新 ) 管理 主机 服务 器 。 


OOB 网 络 用 来 在 硬件 
级 别 〈 设 置 启动 设备 、 
电源 开 / 关 ) 访问 和 配 
置 服务 问 。 





服务 器 0 (单个 OpenStack 主 机 ) 
图 11-1 单一 主机 管理 的 网 络 硬 件 拓 牛 


例子 中 的 OpenStack 管理 交换 机 ( Force10 S60 ) 的 接口 和 VLAN 配置 如 代码 清单 11-1 所 示 。 





代码 清单 11-1” 审 外 和 管理 交换 机 配置 


interface GigabitEthernet 0/1 =- 一 全 端口 1 


description “Uplink Port VLAN 95,96" 
no ip address 
switchport 


no shutdown 
! 
interface GigabitEthernet 0/2 = 全 交口 2 
description "OOB Server 0" 
no ip address 
switchport 


no shutdown 
| 
interface GigabitEthernet 0/3 -一 和 交口 3 
description "Admin Server 0" 
no ip address 
switchport 


no shutdown 
1 
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interface Vlan 95 后 2 VLAN 95 
description "OOB Network 10.33.1.0/24" 
no ip address 
tagged GigabitEthernet 0/1 
untagged GigabitEthernet 0/2 
no shutdown 
! 
interface Vlan 96 ' 二 VLAN 96 
description "Admin Network 10.33.2.0/24" 
no ip address 
tagged GigabitEthernet 0/1 
untagged GigabitEthernet 0/3 





no shutdown 
1 


在 本 例 中 ， 端 口 1 人 @ 包 含 95@ 和 96@ 两 个 VLAN。 你 会 注意 到 这 些 VLAN 是 标记 的 ， 让 它 
们 都 可 以 存在 于 单独 的 端口 1。 同样， 端口 2@ 和 端口 3@ 连 接 的 服务 器 是 非 标记 的 ， 因 为 只 有 
一 个 单独 的 VLAN 分 配 到 每 个 端口 。 男 外 ， 低 层次 旦 与 自动 化 部 团 相 关 的 功能 经 党 是 复杂 的 或 
不 能 使 用 标记 VLAN， 因 为 在 部 署 过 程 使 用 的 软件 或 便 件 可 能 不 文 持 VLAN 标记 。 值 得 注意 的 
是 ,这 个 描述 的 网 络 没有 直接 被 OpenStack 使 用 ， 而 是 只 在 部 署 和 管理 底层 人 硬件 和 操作 系统 时 使 
用 。 这 些 网 络 将 会 以 系统 管理 的 目的 继续 使 用 。 

针对 OpenStack 网 络 ( OpenStack 控制 的 网 络 )， 将 会 有 更 多 网 络 配置 ， 但 现在 足够 开始 了 了 。 
接着 ， 我 们 将 会 讨论 便 件 的 准备 。 


11.1.2 ”服务 器 硬件 

本 草 将 要 设置 的 网 络 拓扑 为 每 台 服 务 需 提供 了 OOB 和 上 自动 化 管理 ， 都 参与 到 OpenStack 部 
署 和 目 动 化 部 署 (Fuel ) 服务 喜 。 现 在 每 台 服 务 融 都 有 两 个 物理 光缆 接口 连接 到 一 人 台 管 理 交 换 机 。 
一 个 光缆 接口 用 于 OOB 网 络 ， 另 一 个 用 于 管理 ， 如 前 面 图 11-1 所 示 。 这 里 我 们 将 会 准备 服务 需 
便 件 来 使 用 这 两 个 网 络 。 


1. 配置 00B 网 络 


从 部 车 和 持续 管理 的 角度 来 看 ，OOB 网 络 至 关 重 要 。OOB 可 以 做 以 下 事情 : 

加 管理 服务 器 和 网 络 硬件 的 软件 配置 方面 ; 

国 远程 访问 便 件 虚拟 控制 合 ; 

国 远程 挂 载 用 于 安装 软件 的 虚拟 媒介 ; 

四 程序 化 访问 便 件 操作 〈 脚本 重启 、 局 动 设备 等 )。 

现在 假设 你 的 服务 大 没有 被 配置 , 已 经 放置 在 机 淋 上 ,有 前 面 描述 的 网 络 的 物理 连接 , 已 通 
电源 。 下 一 步 是 建立 OOB 到 你 的 所 有 服务 上 冀 的 连接 。OOB 管理 可 以 认为 是 物理 便 件 的 生命 线 。 
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这 个 接口 与 操作 系统 隅 离 ， 通 党 包 人 澡 一 个 物理 隔离 的 附加 委 置 。 

有 多 种 方式 建立 OOB 连接 ， 有 些 是 目 动 化 的 ， 其 他 是 完全 手动 的 。 在 一 些 案 例 中 ， 这 种 初 
始 化 配置 任务 可 能 由 数据 中 心 运 维 执行 , 在 为 外 一 些 场景 里 交 给 系统 管理 员 。 你 的 部 著 的 规模 和 
企业 操作 抹 略 成 为 判断 哪 种 流程 更 适合 你 的 因素 。 

通 前 ， 建 立 OOB 连接 只 做 一 次 并 且 改 动 非 第 少 ， 因 此 ， 除 非 你 已 经 建立 了 这 个 过 程 的 目 动 
化 方式 , 不 然 手 动 在 每 台 服 务 带 上 配置 OOB 也 许 更 简单 。 找 一 个 实习 生 , 让 他 做 这 个 就 更 好 了 。 




















上 机 架 、 靶 机 器 、 插 网 线 的 过 程 ， 以 及 最 重要 的 记录 物理 环境 都 是 极其 重要 的 。 你 也 许 经 历 过 听 
到 下 面 这 样 的 话 的 痛 藻 体验 :“ 机 架 / 排 在 同一 个 进 线 /网 络 /单元 是 什么 意思 ? ” 

通过 自动化， 你 可 以 在 大 型 环境 中 轻松 部 署 非常 复杂 的 配置 。 如 果 底 层 基 础 设施 没有 正确 配置 ， 
有 效 地 创建 配置 犹如 大 海 捞 针 。 物 理 部 署 和 文档 记录 是 你 系统 的 基础 ， 因 此 在 开始 之 前 确保 一 切 与 文 
档 记录 的 一 模 一 样 。 你 前 面 的 严谨 将 会 在 最 后 得 到 回报 。 


要 手动 配置 OOB 网 络 ， 你 必须 使 用 显示 器 和 键盘 (或 使 用 串 行 接口 ) 物理 访问 你 的 服务 器 
便 件 控制 台 。 通 常 系统 配置 界面 可 以 在 提示 时 通过 按 下 指定 的 键 中 断 服务 融 局 动 过 程 来 访问 。 

图 11-2 显示 了 与 OOB 管理 相关 的 系统 配置 界面 。 演 示 的 系统 是 一 台 戴 尔 ( Dell ) 服务 需 ， 
包含 iDRAC OOB 管理 卡 。 虽 然 这 个 OOB 管理 卡 是 厂商 特定 的 ， 但 不 同 厂 商 的 常见 配置 和 预期 
的 结果 都 是 相同 的 。 在 图 11-2 中 ,你 可 以 看 到 已 经 分 配 的 一 个 静态 地 址 、 网 关 和 子 网 掩 码 。 一 
日 保存 ， 这 些 信息 将 会 一 直 存 在 ， 哪 怕 是 重启 。 























DHCP 和 00B 管理 动态 主机 配置 协议 ( DHCP ) 可 以 用 来 在 你 的 服务 器 上 配置 OOB 管理 接口 。 
在 大 型 部 署 中 ， 这 种 额外 的 自动 化 程度 经 常 是 必需 的 。 


iDRAC Settings 


DRAC Settngs。Network 
IPV4 SETTINGS 
Enable Pv4 


Enable DHCP 





Statc P Address 
Statc Gateway 0000 


Statr Sret Mac 


80c Freferred DNS Setver 
Statc Memate DNS Server 0000 


PV6 SETTINGS 
Enable PV6 二 Deabled OO Enabied 


11-2 ”在 服务 器 上 的 O00OB 管理 接口 配置 
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一 旦 你 的 服务 闫 的 OOB 接口 配置 好 ， 就 可 以 有 多 种 方式 访问 你 的 服务 各 ,包括 Web 接口 和 
安全 shell ( SSH )。 


0 
2. 访问 一 个 00B 的 Web 接口 Nccers Controle 


图 11-3 显示 了 演示 服务 大 的 OOB Web 接口 。 

从 Web 接口 可 以 访问 虚拟 控制 侣 和 挂 载 虚拟 
媒介 。 如 果 你 站 在 服务 器 前 面 ， 虚 拟 控 制 台 显 示 的 
和 你 在 物理 控制 台 看 到 的 一 模 一 样 。 

OOB Web 接口 由 于 需要 特定 和 典型 的 过 时 的 
Web 浏览 右 而 “声名 狼 夭 "。 好 消息 是 , 从 OOB 的 
角度 ， 你 可 能 感 兴 趣 的 绝 大 多 数 功能 还 可 以 通过 
OOB SSH 控制 台 配 置 。 11-3 基于 Web 的 00B 管理 控制 台 


3. 使 用 SSH 访问 00B 管理 控制 台 


除了 图 形 化 的 Web 接口 外 , OOB 管理 系统 通常 包含 一 个 SSH 或 Telnet 接口 。 虽然 基 于 Web 
的 接口 很 方便 , 但 从 编程 的 角度 来 看 不 容易 使 用 。 演 示 系 统 中 的 iDRAC 提供 一 个 SSH 接口 ， 允 
许 对 OOB 管理 的 主机 进行 脚本 操作 。 这 种 操作 从 简单 的 重启 到 完整 的 硬件 配置 。 例 如 ， 对 于 每 
种 类 型 的 服务 器 ( 计算、 存储 和 其 他 )， 你 可 以 为 特定 硬件 配置 文件 创建 一 个 配置 。 例 如 ， 你 可 
以 指定 BIOS 级 别 的 设置 、RAID 配置 和 网 络 接口 设置 等 。 然 后 ， 一 个 角色 特定 的 配置 可 以 通过 
你 的 OOB 管理 接口 实施 。 

利用 sshpass 这 个 非 交 互 式 的 SSH 密码 提供 者 软件 ， 代 码 清单 11-2 的 例子 演示 了 通过 SSH 
配置 硬件 的 过 程 。sshpass 允许 你 进行 脚本 访问 。 








代码 清单 11-2 通过 SSH 来 脚本 执行 00B 管理 控制 台 操作 


sshpass -p 'mypassword' ssh -~o StrictHostKeyChecking=no \ 





指定 一 个 永久 配置 


root@10.33.1.58 racadm config -9 cfgServerIinfo \ 


Le 


-O_ CfgServerBootOnce 0 


sshpass -p ‘'mypassword' ssh -oO StrictHostKeyChecking=no \ 


root@10.33.1.58 racadm config -9 cfgServerIinfo \ py 5 
| 器 指 定 在 启动 过 程 中 的 第 一 个 设备 
-O CfgServerFirstBootDevice PXE 


本 。 


sshpass -p ‘'mypassword' ssh -oO StrictHostKeyChecking=no \ 


root@10.33.1.58 racadm serveraction powercycle © 重 司 服务 大 
脚本 密码 


一 般 来 说 , 在 脚本 中 保留 明文 密码 然后 在 SSH 中 使 用 被 视 为 不 佳 实践 。 显 然 , 如 果 脚 本 可 以 访问 ， 
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那么 低级 别 的 证 书 也 可 以 获取 ， 但 也 可 以 通过 其 他 形式 的 认证 。 上 自动 化 SSH 登录 被 设计 去 使 用 公 钥 / 
私 钥 加 密 , 但 脚本 访问 SSH 意 想不到 的 后 果 可 能 是 密码 显示 在 控制 人 台 的 历史 和 其 他 交互 登录 信息 通常 
伞 编 辑 的 地 方 。 


在 这 个 例子 中 , 3 条 独立 的 命令 发 给 在 前 面 图 11-1 配置 好 的 OOB 管理 接口 。OOB 管理 接口 
命令 集 可 能 因 广 商 的 不 同 而 不 同 。 在 这 个 iDPDRAC 演示 中 ,racadm 命令 用 于 配置 ( -g cfgServerInfo ) 
[管理 ( serveraction ) 操作 。 第 一 条 命令 指定 接 下 来 的 启动 配置 作为 永久 配置 人 @。 第 二 条 命令 指 
定 在 启动 过 程 中 使 用 的 第 一 个 设备 @。 最 后 一 条 命令 重启 这 台 服 务 如 合 。 








SD 


配置 网 络 为 第 一 局 动 设备 


自动 化 框 架 必须 有 一 种 方式 来 发 现 新 设备 ， 这 种 发 现 遂 常 通过 网 络 使 用 预 启 动 执行 环 境 ( PXE ) 
启动 来 进行 。 配 置 为 PXE 启动 的 服务 器 将 会 在 访问 挂 载 的 存储 中 可 能 找到 的 任何 操作 系统 组 件 之 前 ， 
尝试 从 网 络 启动 。 

PXE 启动 设备 会 传输 一 个 DHCP 请 求 , DHCP 服务 器 会 返回 一 个 分 配 的 地 址 和 用 来 启动 服务 器 的 
可 执行 代码 的 位 置 。 一 旦 DHCP 地 址 分 配给 服务 器 ， 启 动 代码 会 通过 网 络 传输 到 服务 器 ， 服 务 器 会 基 
三 屿 lale 

本 章 描述 的 目 动 化 部 署 使 用 PXE 启动 。 


自动 化 缺陷 : PXE 启动 不 兼容 


在 你 的 服务 器 上 可 能 会 有 几 个 可 以 PXE 启动 的 设备 ， 同 时 服务 器 管理 软件 可 能 有 一 个 PXE 启动 
选项 。 在 本 章 例子 环境 中 ， 由 系统 级 别 统一 的 可 扩展 固件 接口 ( UEFI ) 提供 的 PEX 启动 代理 被 禁用 ， 
网 络 设备 本 身 的 PXE 启动 代理 启用 。 这 样 做 是 因为 PXE 启动 在 Fuel PXE 启动 环境 和 服务 器 软件 提供 
的 PXE 代理 间 不 兼容 。 

接 下 来 ， 将 会 配置 存储 便 件 。 


4. 配置 服务 器 存储 


虽然 私有 云 技术 如 OpenStack 已 经 开始 改变 企业 很 多 东西 ， 典 型 服务 器 规范 里 依然 使 用 专 有 
存储 区 域 网 络 (SAN ) 这 种 形式 的 中 心 存储 。 这 样 做 没 错 ， 正 如 第 9 曹 所 述 ，OpenStack 可 以 轻 
易 使 用 很 多 厂商 提供 的 SAN。 估 肛 多 OpenStack 策略 利用 基于 服务 器 的 开源 存储 解决 方案 , 像 第 
10 草 中 介绍 的 Ceph。 事 实 上 ， 基 于 OpenStack 社区 调查 ， 基 于 服务 硕 的 开源 存储 解决 方案 被 绝 
大 多 数 OpenStack 部 署 采 用 。 因 此 , 大 多 数 的 自动 化 框架 原生 文 持 开源 存储 解决 方案 作为 完全 自 
动 化 部 署 的 一 部 分 。 由 于 这 些 原 因 ， 我 们 将 介绍 利用 Ceph 开源 存储 软件 的 自动 化 部 署 。 


























计算 节点 上 的 本 地 存储 ”无论 你 的 服务 器 是 什么 角色 ， 都 需要 配置 它 的 内 部 存储 。 虽 然 可 能 以 
PXE 启动 服务 器 ， 但 PXE 启动 经 常 只 用 在 部 署 和 升级 阶段 。 除 非 它 是 你 的 整体 操作 策略 的 一 部 
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分 ， 否 则 你 可 能 不 想 把 正常 操作 依赖 于 PXE 启动 的 可 用 性 。 


本 地 磁盘 配置 取决 于 你 的 硬件 和 部 署 预期 的 目的 。 尽 管 如 此 , 仍 可 以 根据 本 草 介 绍 的 基于 环 
境 和 自动 化 的 框架 给 出 一 些 基于 角色 的 建议 。 

图 控制 器 (三 节点 ) 一 一 在 本 草 中 使 用 的 框架 ( Fuel ) 将 绝 大 多 数 的 管理 和 一 些 运 维 工 作 
人 负载 ( MySQL、 网 络 功能 和 存储 监控 等 ) 放 在 控制 硕 上 。 为 此 ， 指 定 为 控制 硕 的 服务 天 
应 拥有 快速 的 系统 卷 ( 操作 系统 安装 的 地 方 )， 如 条 可 能 的 话 ， 使 用 SSD 磁盘 。 在 一 个 
高 可 用 环境 中 ， 欣 制 硕 的 性 能 的 价值 应 该 超过 元 余 ， 因 为 你 已 经 通过 重复 多 个 控制 六 有 
了 元 余 。 在 本 章 的 例子 中 将 会 使 用 SSD RAID-0 系统 卷 。 

图 计算 (五 节点 ) 你 的 虚拟 机 存储 将 会 位 于 独立 的 存储 节点 ， 因 此 同样 你 只 需要 关心 
系统 卷 。 但 因为 系统 卷 是 为 虚拟 服务 硕 提供 操作 环境 所 必需 的 ， 因 此 它 应 该 具备 弹性 。 
除非 你 的 环境 里 的 RAM 是 高 度 超 售 ,否则 系统 卷 不 需要 SSD 的 性 能 .本 例 将 会 使 用 SAS 
RAID-10 系统 卷 。 

图 存储 (三 节点 ) 你 的 虚拟 机 存储 、 镜 像 和 所 有 OpenStack 提供 的 与 存储 相关 的 资源 
都 会 存储 在 这 里 。 正 如 前 面 所 述 ，Ceph 将 会 用 来 管理 这 些 资源 ,但 人 硬件 资源 必须 首先 在 
设备 级 别 被 提供 。Ceph 将 会 与 存储 工作 在 由 主机 操作 系统 管理 的 设备 级 别 。( 当然 ， 你 
必须 首先 拥有 一 个 操作 系统 ， 因 此 需要 一 个 匈 余 的 系统 卷 。) 被 Ceph 使 用 的 磁盘 可 以 分 
为 日 志和 数据 卷 ; 你 应 该 把 最 快 的 磁盘 作为 日 志 卷 ， 将 最 大 的 磁盘 作为 数据 卷 。 在 这 两 
种 情况 下 , 如 果 你 的 磁盘 控制 器 不 支持 JBOD, Ceph 的 卷 应 该 配置 成 JBOD (Justa Bunch 
of Disks， 伺 盘旋 ) 或 RAID-0。 在 本 章 的 例子 中 ， 使 用 一 个 SAS RAID-10 系统 卷 ， 以 及 
4 个 SSD RAID-0 日 志 卷 和 16 个 SAS RAID-0 数据 卷 。 












































自动 化 的 缺陷 : 磁盘 


在 这 个 例子 环境 中 , 存储 节点 上 的 数据 卷 被 合并 以 减少 服务 器 上 的 存储 设备 总 数 到 13。 服务 器 实 
际 上 包含 24 个 磁盘 设备 ， 但 列 出 所 有 磁盘 的 设备 和 路 径 ， 生 成 一 个 长 字符 串 会 导致 部 署 失败 。 在 自 
动 化 操作 系统 部 署 阶段 ， 字 符 串 大 小 超出 了 操作 系统 相关 的 限制 。 通 过 降低 卷 的 数量 把 配置 字符 串 减 
少 到 一 个 可 以 接受 的 长 度 。 


你 可 能 会 想 :“ 目 动 化 服务 融 的 硬件 要 求 是 什么 ?” ”好 吧 ， 这 真 的 不 重要 。 从 技术 上 讲 ， 目 
动 化 服务 俘 可 以 运行 在 一 个 虚拟 机 ， 甚 至 一 台 便 携 式 计算 机 上 。 在 实践 中 ， 将 在 下 一 节 中 讨论 ， 
你 可 能 想 要 一 个 物理 目 动 化 服务 船 ,因为 这 从 服务 人 将 局 动 ( 至 少 最 初 ) 主机 服务 融和 维护 它们 
的 配置 。 为 外， 如 果 必 须 使 用 为 一 个 系统 提供 虚拟 管理 市 点 ,你 肯定 不 想 扩 展 失 败 域 。 性 能 在 管 
理 市 点 上 不 算 什么 大 问题 ,但 你 确实 想 要 一 些 可 以 独立 于 其 他 系统 的 东西 。 

现在 看 看 将 会 用 来 部 普 和 管理 你 的 集群 的 目 动 化 管理 网 络 。 
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5. 配置 自动 化 常理 网 络 


从 部 署 和 管理 的 角度 来 看 ， 上 自动 化 管理 网 络 的 重要 性 仅 次 于 OOB 网 络 。 自 动 化 管理 网 络 是 
目 动 化 框 染 与 主机 通信 的 方式 。 该 网 络 将 用 于 以 下 功能 : 

图 ”在 安装 和 升级 过 程 中 使 用 的 PXE 启动 网 络 ; 

图 ”自动 化 ( Fuel ) 服务 器 和 被 管理 节点 间 的 管理 通信 ; 

图 ”操作 系统 级 别 网 络 通 信 ， 如 在 被 管理 主机 上 向 外 的 NTP 和 向 内 的 SSH 传输 。 

好 消息 是 , 与 OOB 网 络 一 样 , 这 个 网 络 的 配置 应 该 是 简单 的 。 在 用 于 部 署 的 每 个 服务 器 中 ， 
选择 一 个 操作 系统 可 访问 的 接口 (不 是 OOB 硬件 接口 ), 将 这 些 接口 分 配 到 管理 网 络 。 帮 你 目 己 
一 个 忙 ,为 所 有 的 服务 器 选择 相同 的 网 络 接 口 一 一 为 所 有 的 服务 占 使 用 相同 的 接口 允许 你 在 自动 
化 框架 中 配置 接口 时 把 所 有 服务 器 放 到 一 起 。 在 这 个 例子 环境 中 , 第 一 个 板 载 的 网 络 接 口 (eth0 ) 
将 被 指定 为 自动 化 管理 网 络 接口 。 

分 配 , 在 这 样 的 背景 下 , 意味 着 指定 的 物理 服务 咒 端 口 将 被 连接 到 已 配置 了 非 标 记 VLAN 96 
的 交换 机 端口 。 正 如 上 文 所 述 ， 这 些 交 换 机 端口 不 会 被 分 配 任何 其 他 VYLAN，VLAN 96 传输 里 
将 不 包含 VLAN 标记 。 从 终端 设备 ( 服务 器 ) 的 角度 来 看 ，VLAN 96 并 不 存在 ， 它 只 是 由 交换 
机 用 来 隔离 到 指定 在 YLAN 96 的 内 部 端口 的 传输 。 图 11-4 显示 了 该 网 络 在 PXE 启动 过 程 中 的 
使 用 方式 。 
































管理 交换 机 


Fuel 服 务 器 接收 PXE se 加 未 配置 的 服务 器 
启动 请 求 ， 并 响应 网 一 本 人 为 PXE 启 动 信息 
络 地 址 信息 和 额外 的 PXE 代 理 广播 一 个 请 求 。 
网 络 引导 指令 。 


Fuel 服 务 器 ”未 配置 的 服务 器 
11-4 ”在 PXE 启动 中 的 自动 化 管理 网 络 


在 图 11-4 中 , 你 会 在 相同 的 非 标记 网 络 看 到 一 人 台 已 经 配置 的 自动 化 (Fuel ) 服务 器 和 一 台 示 
配置 的 服务 器。Fuel 服务 器 从 它 的 本 地 磁盘 启动 ， 开 始 在 它 的 eth0 接口 侦 听 DHCP/PXE 启动 
请 求 。 标 记 为 “未 配置 的 服务 器 ”的 节点 是 一 台 至 少 配置 一 个 OOB 网 络 (图 11-4 中 未 显示 ) 和 
被 设置 为 PXE 启动 的 服务 器 。 

在 PXE 启动 过 程 中 ， 未 配置 的 服务 顺 将 为 启动 信息 广播 一 个 请 求 。 因 为 这 两 侣 服务 融 在 同一 
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个 网 络 ， 所 以 Fuel 服务 带 将 会 接收 请 求 ， 并 且 啊 应 网 络 地 址 信息 和 额外 的 网 络 引导 指令 的 广播 。 
然后 ， 未 配置 的 服务 右 将 继续 引导 过 程 。 图 11-5 显示 了 一 旦 服务 器 被 部 署 该 网 络 的 使 用 方式 。 


上 行 交 换 机 


10.33.2.1 


管理 交换 机 
相同 的 网 络 现在 用 于 


已 部 署 的 服务 器 的 操 
。 -一 作 系 统 级 别 的 管理 。 






署 的 服务 器 的 配置 和 
监听 其 他 启动 请 求 。 10.33.2.2 10.33.2.3 


Fuel 服 务 器 ”已 配置 的 服务 器 
11-5 ”在 操作 系统 通信 中 的 自动 化 管理 网 络 





如 你 所 见 ， 一 旦 市 点 被 部 署 ， 被 用 在 PXE 局 动 过 程 的 这 个 相同 的 网 络 将 用 于 操作 系统 级 别 
的 管理 。 此 外 ，Fuel 服务 融 将 继续 使 用 这 个 网 络 来 发 现 新 的 服务 希 和 管理 现 有 服务 大 上 的 配置 。 

你 已 经 完成 了 所 有 必要 的 步 又 来 为 目 动 化 服务 天 部 车 准备 环境 。 下 一 玉 关 注目 动 化 (Fuel ) 
服务 硕 的 部 署 。 


co 部 署 49@ 


你 现在 为 Fuel 设置 环境 , 但 是 在 你 开始 部 署 Fuel 之 前 , 确保 你 的 OOB 网 络 连接 到 所 有 的 服 
务 磊 ， 包 括 指 定 的 目 动 化 服务 絮 ( Fuel )。 此 外 ， 确 保 所 有 的 服务 硕 使 用 相同 的 接口 设备 名 称 ， 
如 在 前 面 例子 中 使 用 的 eth0， 用 于 它们 的 非 标 记 自 动 化 管理 网 络 的 分 配 。 

下 一 步 ， 从 Fuel 的 wiki 上 下 载 Fuel 7.0 社区 版 ISO ( https://wiki.openstack.org/wiki/Fuel )， 
然后 开始 安 沪 过 程 。 





安 泌 Fuel 
现在 你 应 该 有 OOB 网 络 或 直接 连接 到 指定 为 Fuel 服务 需 的 控制 台 ， 如 前 面 图 11-1 所 示 。 
按照 下 面 的 步骤 开始 Fuel 的 安装 过 程 。 
(1) 使 用 你 部 署 的 服务 大 的 OOB 管理 能 力 ( 或 手动 地 ) 把 Fuel 7.0 ISO 挂 载 到 指定 的 目 动 
化 服务 各 上 。 这 个 过 程 将 会 取决 于 你 的 OOB 管理 工具 。 
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(2 ) 重启 你 的 自动 化 服务 器 ， 基 于 你 的 服务 融 的 厂商 特定 指令 ， 从 Fuel 7.0 ISO 启动 。 

(3 ) 当 服 务 器 从 挂 载 的 Fuel 7.0 ISO 开始 启动 时 ， 按 Tab 键 中 断 启 动 过 程 。 中 断 的 启动 菜单 
如 图 11-6 所 示 。 从 启动 菜单 上 ， 你 可 以 改变 初始 启动 时 间 的 设置 。 你 还 可 以 在 本 节 展 示 的 安装 
阶段 改变 Fuel 设置 。 


如 果 你 成 功 地 中 断 了 启动 过 程 ， 将 会 看 到 如 图 11-6 所 示 的 界面 。 


| Pup Fuel Install Ctat i 


wtatic IP) 
Us mrall Leta LPy 


Prrecs ITAb TL Ei rt inn 





11-6 在 Fuel 安装 程序 界面 编辑 设置 


你 的 界面 的 网 络 设置 应 该 跟 图 11-6 所 示 的 不 一 样 。 我 的 默认 Fuel 使 用 的 自动 化 管理 地 址 范 
围 是 10.20.0.0/24， 而 演示 环境 使 用 的 地 址 范围 是 10.33.2.0/24。 为 了 使 用 不 同 的 范围 ， 你 必须 使 
用 你 的 光标 ， 修 改 下 面 的 设置 来 适应 你 的 环境 : 

被 Fuel 服务 咒 用 于 PXE 和 管理 的 地 址 ; 

Fuel 服务 器 和 所 有 被 Fuel 管理 的 服务 需 使 用 的 网 关 地 址 ; 
Fuel 服务 句 和 所 有 主机 管理 的 主机 使 用 的 域名 服务 器 地 址 ; 
Fuel 服务 器 和 所 有 主机 管理 的 主机 使 用 的 子 网 掩 码 ; 
Fuel 服务 需 使 用 的 主机 和 名。 

当 完 成 变更 后 ， 按 Enter 键 继续 安装 过 程 。 





国 ijip 





GW 
dnsil 








netmask 





hostname 


警告 ”如果 Fuel 安装 程序 检测 到 本 地 磁盘 存在 分 区 ， 将 会 提示 你 覆盖 这 些 分 区 。Fuel 安装 程序 
将 会 覆盖 你 现 有 的 分 区 ， 这 样 可 以 确保 丢失 这 些 现 有 的 数据 你 是 确定 的 。 


一 旦 初始 化 Fuel 安装 过 程 完成 ， 你 将 会 看 到 Fuel 命令 行 设置 程序 ， 如 图 11-7 所 示 。 至 少 ， 
你 需要 创建 root 用 户 的 密码 。 如 果 在 局 动 某 单 中 不 配置 网 络 , 还 要 在 此 处 配置 网 络 。 如 果 安 装 成 
功 ， 你 的 服务 希 将 会 重 局 ， 并 且 目 动 化 服务 天 控制 台 应 该 看 起 来 如 网 11-8 所 示 。 
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Fuel .8 setup Use UprbDoanLelt/Right to nawiyatr 
Henu 
Set Fuel User password. 


« Fuel User » Default user: admin 
< Network Setup >» Default passuord: admin 
« FxE Setup 


> 

< LMHS 8 Hostname > The passuord should contain upper and lower-case letters, 
< Bootstrap lmage 3 digits, and characters Like YB Ret) *. 

* Root Passmord 2 


* Time Suync > Fuel password 
过 Shell Login > on 


寺 
< Check > 


¢ Qult Setup 





图 11-7 Fuel 数据 覆盖 确认 界面 


林 持 装 持 村 排 间 亲 装 尊 村 桂 林村 状 间 林 禁 村 桂林 状 间 林 禁 林村 和 装 状 打 杖 林 村 特 煌 桂林 提亲 村 煌 
村 Helcome to the Fuel server # 
怕 料 料 持 特 持 特 料 料 料 料 持 持 特 针 特 料 料 料 特 持 特 特 特 料 料 持 料 煌 特 糙 料 料 持 料 持 特 半 料 料 灶 
SErver is runming on xB86 _64 platform 


Fuel Ul is available on: http:AA1d.33.2.2 :8443 


Default administrator login: root 


Default administrator password: rgdtme 


Default Fuel UI login: admin 
Default Fuel UI password: admin 


Please change root password on first login. 





fuel login: 


11-8 Fuel 安装 后 控制 合 界面 








你 的 Fuel 服务 从 已 经 安 疙 好 ! 下 一 市 将 会 介绍 使 用 Web 接口 进行 基本 的 目 动 化 高 可 用 部 署 。 








ce ”基于 类 总 的 基本 44# 引 重头 部 署 


本 章 的 例子 使 用 Fuel 的 Web 接口 。Fuel 还 提供 了 CLI 来 部 署 和 管理 OpenStack 
(https:Wwiki.openstack.ore/wikiFuel_CLI )。 虹 RS Fuel CLI 超 出 本 书 的 范围 ， 但 它 是 非常 蝇 大 的 工 
具 ， 被 Fuel 重度 用 户 大 量 使 用 。 

通过 在 你 的 浏览 硕 中 导航 到 http://< fuel server ip >:8443 来 访问 Fuel 的 Web 接口 。 例 如 ， 在 
演示 环境 中 ， 这 个 地 址 应 该 是 http://10.33.2.2:8443。 在 你 的 浏览 器 中 ,你 应 该 看 到 如 图 11-9 所 示 
的 Web 接口 。 

使 用 Fuel 默认 的 用 户 名 和 密码 admin/admin， 登录 到 Fuel Web 接口 。 一 旦 登录 , 将 会 看 到 如 
图 11-10 所 示 的 环境 界面 。 

当然 , 现在 你 还 没有 配置 任何 环境 , 更 加 重要 的 是 , 你 还 没有 发 现任 何 服务 大 可 以 用 于 部 署 。 
下 一 步 将 要 发 现 你 的 服务 妖 。 
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FUEL 


for OpenStack 






本 
焰 FUEL RELEASES PLUGINS SUpPOAT 
dr Dean 





里 admin 


3- My OpensStack Environments 


A Tou're not using a secure Connection 
Cteh te HT TPS version 





11-9 登录 到 Fuel Web 接口 11-10 Fuel 环境 界面 


11.3.1 服务 器 发 现 

你 可 能 习惯 于 在 服务 部 署 后 进行 服务 絮 发 现 的 管理 工具 ,通常 这 是 通过 网 络 地 址 扫描 或 骨 入 
式 代 理 实 现 的 , 或 者 你 手动 提供 一 个 主机 名 和 地 址 列表 。 在 这 种 情况 下 ,你 的 服务 器 没有 一 个 发 
现 的 地 址 ， 甚 至 没有 分 配 地 址 的 操作 系统 。 

Fuel 的 服务 器 发 现 是 通过 一 个 轻 量 级 的 代理 实现 的 ， 在 成 功 地 进行 初始 化 PXE 启动 后 放置 
在 每 个 未 配置 的 服务 右上 。 这 意味 者 你 必须 首先 配置 所 有 未 配置 的 服务 器 (不合 Fuel 服务 善 ) 
使 用 PXE 启动 ， 正 如 前 面 所 讨论 的 那样 。 然 后 ， 每 个 服务 妖 应 该 重新 启动 ， 这 样 Fuel 可 以 管理 
PXE 启动 过 程 。 配 置 你 的 服务 器 硬件 的 PXE 启动 和 重启 过 程 的 步骤 取决 于 你 的 厂商 硬件 。 

发 现 包 括 以 下 步骤 。 

(1 ) 设置 未 配置 的 服务 硕 使 用 PXE 作为 第 一 启动 设备 。 

(2 ) 重启 未 配置 的 服务 妖 。 

(3 ) 未 配置 的 服务 器 从 Fuel 服务 器 接收 DHCP/PXE 信息 。 

(4) 未 配置 的 服务 器 使 用 Fuel 服务 器 提供 的 管理 引导 镜像 启动 。 

(5 ) 一 旦 未 配置 的 服务 器 启 动 ， 运 行 在 引导 镜像 下 的 代理 会 回 Fuel 服务 右 返 回报 告 ， 一 个 
便 件 清单 就 会 被 收集 。 

(6 ) 这 个 未 配置 的 服务 器 被 Fuel 服务 器 报告 为 未 分 配 的 服务 器 。 

如 有 果 发 现 过 程 是 成 功 的 ， 所 有 先前 未 配置 的 服务 各 现在 将 通过 Fuel 的 Web 界面 被 报告 为 未 分 
配 的 服务 器 ， 如 图 11-11 所 示 。 如 果 服 务 需 不 显示 为 已 发 现 ， 访 问 你 的 虚拟 OOB 控制 台 ， 检查 主 
机 的 状态 。 如 果 服 务 需 处 于 挂 起 状态 ， 你 可 能 需要 从 一 个 特定 的 服务 器 OOB 控制 台 强 制冷 重启 。 

接 下 来 ， 你 将 建立 一 个 新 的 环境 ， 它 将 用 于 在 你 未 分 配 的 服务 硕 部 署 OpenStack。 这 个 环境 
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指定 你 的 服务 硕 如 何 配置 给 OpenStack 使 用 。 


dmin Change ps 


~ 机 下 ET LEBER LEA TOD 
La ri Environments Reolaasas Support 1 3 ee 1 3 rt 





Home | Environments 


11-11 Fuel 用 户 界面 中 有 13 个 未 分 配 的 节点 


11.3.2 创建 Fuel 部 署 环 境 


现在 准备 定义 将 为 你 部 署 的 Fuel 的 环境 。 在 “Environments” 标 签 ， 单 击 “New OpenStack 
Environment” 图 标 ， 将 会 显示 一 个 对 话 框 和 一 系统 界面 ， 其 中 一 个 界面 如 图 11-12 所 示 。 





Create a new Openstack environment 


Narme and Release Name od testeo 


Compute Dpenstack Felease le on Ubuntu 14.04,1 (2015.1.0=7.0) (defsult) -| 


Careel 4= Pr Next 二 
11-12 使 用 Fuel 创建 一 个 新 的 OpenStack 环境 


你 将 被 要 求 提供 下 面 这 些 信息 。 
四 名 称 和 发 行 版 本 一 一 提供 部 署 的 名 称 和 你 希望 部 署 的 OpenStack 发 行 版 。 名称 无 关 紧要 ， 
但 OpenStack 发 行 版 本 和 操作 系统 平台 的 选择 将 会 决定 整个 部 署 的 底层 操作 系统 和 发 行 








版 本 平台 。 
图 部 着 市 点 一 一 如 果 你 有 有 限 的 便 件 ， 你 可 以 选择 多 市 点 。 在 本 章 的 演示 中 ， 高 可 用 的 多 
节点 将 被 选择 。 





图 计算 一 一 如 果 像 演示 的 环境 一 样 在 硬件 上 运行 , 选择 KVM。 如 果 所 有 服务 都 运行 在 虚拟 
化 环境 ， 应 该 选择 QEMU。 

图 ”网络 设置 网 络 类 型 有 多 种 选择 。 可 能 你 想 网 络 使 用 Neutron, 再 具体 点 就 是 使 用 GRE 
或 VLAN 作为 网 络 隔离 。 本 草 的 例子 环境 将 会 使 用 VLAN 分 段 , 由 于 性 能 原因 ,这 是 在 
生产 环境 中 通常 的 选择 。 

图 存储 后 端 你 可 以 选择 Linux LVM 或 Ceph 作为 存储 后 端 ， 这 两 种 都 可 以 配置 。 在 例 
子 环境 中 ，Ceph 将 作为 Cinder 和 Glance 的 存储 。 

国 ”额外 的 服务 你 可 以 有 选择 地 安装 OpenStack 框架 提供 的 额外 服务 。 
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图 ”完成 一 一 当 完 成 配置 后 ， 单 击 “Create” 按 钮 创建 你 的 环境 配置 。 
你 已 经 成 功 创 建 了 一 个 新 的 部 署 环 境 配置 。 现 在 是 时 候 去 配置 你 的 网 络 环境 了 。 
11.3.3 为 环境 配置 网 络 


在 你 分 配 任何 未 分 配 的 服务 器 之 前 ,首先 必须 
配置 环境 的 网 络 。 首 先 完成 这 一 步 让 节点 分 配 期 间 。 























的 接口 配置 更 加 容易 理解 ， 因 为 在 你 分 配 这 些 网 络 ss 
给 你 的 主机 时 这 些 网 络 已 经 定义 好 。 cIoR TFT 

在 你 的 环境 配置 界面 单 击 “Networks” 标 签 。 Use VLAN tagging -和 
从 “Networks” 界 面 ， 你 将 会 创建 网 络 配 置 , 它 将 。 ep 


会 应 用 到 底层 主机 操作 系统 和 用 来 配置 OpenStack。 
下 面 的 网 络 配 置 将 会 基于 你 的 环境 ,在 图 11-13 Management 
所 示 的 环境 创建 步骤 中 , 选择 了 VLAN 划分 , 因此 cpr 10.33.6.0/24 
下 面 的 设置 将 会 反映 这 个 选择 。 
国 公共 的 一 一 这 个 网 络 用 于 外 部 虚拟 机 通信 。 
IP 范围 是 为 OpenStack 运 俏 保留 的 地 址 苑 Storage 
围 ， 如 外 部 路 由 器 接口 。CIDR 是 用 于 所 有 oor 10.33.7.0/24| 
外 部 ( OpenStack 和 浮动 的 ) 地 址 的 完全 子 
网 。 网 关 设 置 指定 子 网 的 网 关 。 在 这 个 例子 
环境 中 , 这 个 网 络 将 会 使 用 标记 VLAN 97， 
通过 复 选 框 进行 选择 。 








Use VLAN tagging we 101 


Use VLAN tagging wr 10e 


Neutron L2 Configuration 














star End 
国 管理 一 一 这 个 网 络 被 OpenStack 节点 用 来 VLAN ID range 1000 1050 
在 API 层面 进行 通信 。 它 应 该 被 认为 是 Bees MAC Sdirsss fa:16:3e:00:00:00 
OpenStack 组 件 的 内 部 网 络 。 
图 存储 这 个 网 络 用 来 传输 从 Ceph 节点 到 ey 
计算 与 Glance 市 点 的 存储 流量 。 iil etre ea 
四 Neutron L2 配置 一 这 是 内 部 或 私有 庶 据 memeimeon emmy aa 
机 网 络 。 设 置 一 个 VLAN 范围 用 于 不 同 计 ww 一 
算 世 点 间 的 虚拟 机 与 虚拟 机 的 通信 。 人 二 ee 


国 NeutronL3 配 置 一 一 这 个 CIDR 和 网 关 将 会 
在 创建 内 部 OpenStack 网 络 时 内 部 使 用 。 11-13 Fuel 环境 网 络 配置 
“Floating 耻 ranges” 指 定 从 公共 网 络 为 虚拟 机 的 浮动 外 部 地 址 保留 的 地 址 范围 。 
当 你 完成 配置 后 ， 选 择 “Save Settings”。 
下 一 万 将 会 分 配 节 点 到 你 的 环境 。 一 旦 这 些 主机 被 分 配 ， 将 会 返回 这 个 界面 ， 验 证 你 的 网 络 
配 首 。 
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11.3.4 ”分配 主机 到 你 的 环境 

你 已 经 配置 了 你 的 新 环境 ,并 且 你 有 一 个 已 经 发 现 但 未 分 配 的 资源 池 。 然 而 ,在 这 个 环境 里 
还 没有 物理 资源 被 分 配角 色 。 这 个 过 程 的 下 一 步 是 分 配角 色 给 未 分 配 的 服务 器 池 。 

在 你 的 环境 的 配置 界面 ， 选 择 “Add Nodes”， 将 会 跳 到 “Nodes” 标 签 ， 该 标签 中 列举 了 可 
用 的 角色 和 未 分 配 的 候选 服务 器 。 节 点 分 配 界面 如 网 11-14 所 示 。 








峙 LEASES LUGINS SUPPORT (@) (6) @®) Cz) 













Summary Capacity 


Name prod testco A/ CPU (Cores 0 1DD Obytes | RAM D bytes 


Satus New 
Node Statistics 
Openstack Roelease Kio on UDuNty 14.041 
- You domt have any Nodes in your erwiromnmnent Add Uyem fs at Nodes ao 
Compute QEMU 
Network Neutron Win VLAN segmentation 
Storape Sackends Cinder LVM over I5C5 for volumes 


Delete Environment © 


Documentation 


Ouikk access to the documentation on configyring and dplovin envirommne 
n py 


11-14 ”分配 节点 OpenStack 角色 





在 这 个 例子 环境 中 ， 将 进行 下 面 的 分 配 : 

图 ”控制 器 一 一 3 台 64 GB RAM 服务 器 ; 

图 计算 一 一 5 台 512 GB RAM 服务 器 ; 

图 存储 、Ceph (OSD) 一 一 3 台 48 GB RAM 和 16.5 TB 磁盘 空间 的 服务 器 。 
在 下 面 的 介绍 中 ， 磁 盘 和 网 络 将 会 从 分 配 界面 配置 。 


1. 配置 接口 


如 有 果 你 出 于 相同 的 目的 在 所 有 市 点 上 分 配 了 所 有 接口 ， 那 么 这 个 步骤 就 简单 了 。 否则 ,你 将 
不 得 不 为 每 组 拥有 不 同 接口 配置 的 主机 重复 接口 配置 过 程 。 如 果 接 口 菇 于 服务 大 或 角色 而 不 同 ， 
简单 地 为 每 个 节点 重复 配置 。 

在 你 的 环境 的 “Nodes” 标 签 , 单 击 选 中 “Select All” 复 选 框 , 然后 选择 “Configure Interfaces”。 
节点 接口 对 话 框 将 会 出 现 ， 如 图 11-15 所 示 。 
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ie MAC: b8:2a:72.;d5:2b:73 Admin (PXE) 

a Spoeed. 10 Gbps 

[ee MAC: b8-28:72:d5-2b:74 You can drag and drop logical networks between interl 
Speed 中 N/A 

othi 

kg MAC: b8-2a-72.d5-2b:75 You can drag and drop logical networks between intert 
Speed: N/A 

eth2 

a MA b8-28:72:d5:2b:76 You can drag and drop logical networks between inter 
Speed: N/A = 

eth) 

[可 到 MAC: a0:36:9f.44:e1-e0 Private Publc Managernent 

Be Spoed: 100 Gbos VLAN IOw 1000-1060 VIANO ViAN ID 101 

we MAC: a0.36.9144,e1:e2 Storage 

PR Speed: 10.0 Gbps WwWLANID 102 


11-15 ”指定 市 点 接口 配置 





在 前 一 三 中 配置 的 网 络 , 如 图 11-13 中 展示 的 公共 网 络 , 必须 分 配 到 你 的 服务 带 的 物理 接口 。 
显示 在 界面 的 接口 取决 于 你 的 部 屠 ， 但 无 论 如 何 部 著 配 置 ， 下 面 的 网 络 分 配 必须 执行 。 











Admin (PXE ) 一 一 这 个 应 该 指定 为 自动 化 管理 接口 。 在 本 例 中 ， 这 个 使 用 接口 eth0。 
Private 这 个 应 该 指定 为 传输 虚拟 机 到 虚拟 机 内 部 流量 到 OpenStack 部 署 的 接口 。 在 
本 例 中 ， 选 择 VLAN 隔离 ， 因 此 接口 eth4 应 该 有 到 VLAN 的 标记 访问 来 传输 节点 间 的 

















流量 。 

Public 这 个 应 该 指定 为 传输 外 部 流量 到 OpenStack 环境 的 接口 。 
Management 这 个 应 该 指定 为 内 部 组 件 间 通 信 的 接口 。 

Storage 这 个 接口 应 该 指定 为 连接 到 存储 网 络 的 接口 。 





一 旦 你 的 接口 完成 分 配 ， 单 击 “Apply” 保 存 设 置 。 
下 一 步 ， 将 会 配置 磁盘 。 


2. 配置 磁盘 


不 像 接口 ， 在 不 同 服务 右上 的 物理 磁盘 预计 不 会 是 相同 的 ， 磁盘 配置 是 以 组 级 别 进行 配置 。 
要 为 一 组 服务 需 磁 盘 进 行 相同 的 配置 ， 选 择 服务 需 组 ， 然 后 单 击 “Configure Disk”。 例 如 ， 要 配 
置 一 组 Ceph OSD 节点 的 磁盘 ， 选 择 这 个 组 来 访问 如 图 11-16 所 示 的 磁盘 配置 界面 。 

在 图 11-16 中 , 你 可 以 看 到 一 些 磁 盘 已 经 指定 为 Ceph 日 志 设 备 , 其 他 的 已 经 指定 为 Ceph 数 
据 设 备 。 这 个 配置 将 指定 给 这 个 组 内 所 有 选择 的 节点 。 
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Configure disks on 3 nodes 
sda (disk/by-path/pci-0000:03:00.0-scsi-0:2:0:0) 









Base System 


sdb (disk/by-path/pci-0000:03:00.0-scsi-0:2:1:0) 





sdc (disk/by-path/ipci-0000:03:00.0-scsi-0:2:2:0) 





sdd (disk/by-path/pci-0000:03:00.0-scsi-0:2:3:0) 






11-16 ”指定 刷 点 磁盘 配置 


一 旦 配置 完 所 有 节点 上 的 磁盘 ， 你 将 需要 进行 最 后 的 配置 设置 并 验证 你 的 网 络 。 


11.3.5 ”完成 设置 和 验证 


在 环境 配置 界面 单 击 “Settings” 标 签 。 在 这 个 标签 下 ， 你 可 以 看 到 现 有 的 配置 ， 这 些 基于 
你 在 环境 创建 期 间 提 供 的 回答 。 在 这 个 界面 ， 你 可 以 更 好 地 调整 你 的 部 署 。 
少 ， 我 建议 你 改变 部 署 相 关 的 任何 密码 。 另 外 ， 如 果 你 使 用 Ceph 作为 存储 ， 你 可 能 会 考 
虑 指定 Ceph 作为 Nova 和 Swift API 的 后 端 。 一 旦 完成 所 有 更 改 ， 单 击 “Save Settings”。 
再 次 ,在 你 的 环境 配置 界面 单 击 "Networks 标签 - 回 下 滚动 到 界面 底部 ,选择 "Verify Networks”。 
如 果 你 的 所 有 网 络 设置 是 正确 的 ， 你 将 会 看 到 图 11-17 所 示 的 “Verification succeeded”。 








Verificatlion succeeded. Your network is conligured correctly. 


11-17 验证 网 络 配 置 


求救 ! 我 的 网 络 没有 记录 下 来 


在 这 个 过 程 中 事情 显然 会 变 得 复杂 。 决 定 服务 器 接 入 到 哪个 交换 机 这 样 简单 的 事情 在 这 里 会 变 得 
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复杂 。 如 果 你 完全 不 知 所 指 ， 那 么 回 到 起 点 。 

你 不 知道 服务 器 接 入 到 哪里 ”你 可 以 在 数据 中 心里 通过 电缆 追踪 ， 或 使 用 链 路 层 发 现 协议 
(LLDP )。 可 以 考虑 使 用 一 张 包含 LLDP 支持 的 live CD 启动 有 疑问 的 服务 器 。 查 阅 你 的 交换 机 文档 了 
解 如 何在 你 的 网 络 硬件 启用 LLDP。 在 交换 机 和 服务 器 上 运行 LLDP, 这 两 全 设备 会 报告 链 路 层 的 位 置 。 

你 知道 服务 器 连接 的 位 置 ,但 VLAN 验证 失败 ? 再 次 启动 一 台 服 务 器 ,并 确认 从 一 个 非 标 记 VLAN 
的 连接 性 。 这 步 可 以 通过 在 交换 机 和 服务 器 分 配 IP 地 址 实现 ， 然 后 使 用 Ping 来 确认 设备 间 的 通信 。 
一 旦 通信 被 确认 ， 使 用 标记 VLAN 重复 这 个 过 程 。 


停止 ! 验证 ， 否 则 …… 在 你 的 网 络 配置 验证 通过 之 前 不 要 继续 往 下 操作 。 如 果 你 所 有 参与 的 节 
点 的 网 络 配置 没有 被 验证 ， 肯 定 会 遇 到 大 问题 。 


11.3.6 ”部 署 变 


看 到 标记 为 “Deploy Changes ”的 蓝 色 按钮 了 吗 ? 如 果 你 对 你 的 人 硬件 配置 和 环境 设置 有 信心 ， 
单 击 它 继续 ! 这 将 会 开始 部 团 过 程 ， 包含 操作 系统 安 锋 和 OpenStack 部 署 。 这 个 部 署 过 程 将 会 通 
过 界面 右上 方 的 绿色 进度 条 显示 。 如 果 你 对 部 署 细节 感 兴趣 ,可 以 单 击 “Logs” 标 签 或 每 台 服 务 
顺 部 署 进度 条 劳 边 的 文件 图 标 。 

当 这 个 过 程 成 功 完成 后 ， 将 会 提供 给 你 部 署 的 Horizon 的 Web 地 址 ， 如 图 11-18 所 示 。 























图 11-18 ”成 功 部 署 


单 击 "Health Check ”标签 , 按照 指引 在 你 的 环境 中 运行 完整 的 测试 有些 测试 需要 OpenStack 
租户 的 交互 ， 如 导入 指定 的 镜像 。 

如 果 你 需要 添加 一 个 节点 ， 只 需 单 击 “Add Nodes”， 跟 随 部 署 过 程 即 可 。 要 重新 部 署 ， 单 击 
“Actions” 标 签 下 的 “Reset” 按 钮 ,然后 单 击 “Deploy Changes”。 如 果 想 完全 重新 开始 , 单 击 “Reset” 
按钮 ， 然 后 单 击 “Delete” 删 除 环境 。 

享受 你 的 新 的 高 可 用 OpenStack 环境 吧 。 





ce 小 结 


Fuel 可 以 用 在 OpenStack 的 目 动 化 高 可 用 (HA ) 部 署 。 

Fuel 使 用 Mirantis 版 本 的 OpenStack。 

Mirantis 提供 的 商业 支持 包括 Fuel 和 它们 的 OpenStack 发 行 版 。 
Fuel 提供 PXE 启动 服 务 ， 人 允许 你 的 服务 硕 从 Fuel 服务 大 局 动 。 
对 于 大 规模 日 动 化 部 车 ， 币 外 ( OOB ) 网 络 至 天 重要 。 


第 12 音 ”利用 0 penStack 进行 云 编排 


图 ”使 用 OpenStack Heat 进行 应 用 编排 
国 ”使 用 Ubuntu Juju 进行 应 用 编排 


编排 ( orchestrate ) 的 其 中 一 个 定义 是 安排 或 操作 ， 特 别 是 通过 巧妙 的 手段 ， 或 者 全 面 的 规 
划 或 操纵 。 你 应 该 对 “安排 ”这 个 定义 与 计算 的 关系 很 熟悉 。 你 必须 为 部 署 应 用 安排 底层 便 件 层 
和 软件 依赖 。 本 音 和 本 书 的 一 些 章节 ， 都 是 介绍 关于 编排 的 巧妙 之 处 的 。 特 别 地 ， 本 童 介 绍 的 应 
用 编排 工具 利用 OpenStack 资源 。 我 们 探讨 的 工具 有 些 是 OpenStack 官方 项 目 , 有 些 是 相关 项 目 。 

即使 在 OpenStack 官方 编排 工具 中 ,依赖 层级 依然 存在 。 例 如 ，Mourano 项 目 ( 本章 不 会 介绍 ) 
提供 给 用 户 应 用 目录 ,依赖 Heat 项 目 去 部 署 基础 设施 和 应 用 组 件 。 还 有 一 些 独 立 工 具 ， 如 Ubuntu 
的 Juju， 和 直接 与 OpenStack 核心 API 连接 来 部 署 基 础 设施 依赖 ， 然 后 Juju 可 用 于 部 署 应 用 。 

本 章 以 OpenStack 官方 项 目 Heat 开始 ， 它 工作 于 基础 设施 和 应 用 层 之 间 。 随 后 ， 我 们 将 会 
了 解 一 下 独立 的 Ubuntu 工具 Juju。 























ce 衣 休 本 大 二 大 k 


OpenStack Heat 被 认为 是 OpenStack 编排 的 基础 。 在 很 多 方面 , Heat 之 于 应 用 就 像 OpenStack 
基础 设施 组 件 (Nova、Cinder 等 ) 之 于 厂商 便 件 和 软件 一 一 它 简 化 了 集成 。 大 型 目 动 化 计算 集群 
在 OpenStack 之 前 很 久 就 存在 了 ， 但 集群 党 理 系统 是 本 地 开发 或 厂商 指 定 的 。OpenStack 为 管理 
基础 设施 资源 提供 了 一 个 通用 接口 。 

但 在 应 用 部 署 的 范围 内 , 基础 设施 只 是 整个 过 程 的 一 部 分 。 即 使 你 有 一 个 系统 可 以 立即 提供 
无 限量 的 虚拟 机 ,也 还 是 需要 额外 的 工具 来 管理 虚拟 机 上 的 应 用 的 。 另 外 , 你 还 想 基 础 设施 和 应 
用 层 能 在 各 目 所 在 的 层面 主动 适应 变动 。 例 如 ， 如 果 一 个 应 用 性 能 突破 了 国 值 ,你 可 能 想 在 没有 
人 工 干 预 的 情况 下 就 添加 额外 的 基础 设施 。 同 样 ， 如 果 基 础 设施 资源 变 得 很 有 限 了 ,你 可 能 想 让 
最 不 重要 的 应 用 平滑 地 释放 资源 。 
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考虑 一 下 构成 虚拟 机 的 基础 设施 资源 。 一 个 虚拟 机 至 少 由 CPU、RAM 和 磁盘 任 源 组 成 。 在 
OpenStack 和 类 似 的 环境 里 ， 现 有 定义 的 格式 是 为 了 描述 各 个 独立 的 资源 以 及 相关 的 资源 如 何 构 
建 虚 拟 机 。 现 在 ， 假 设 你 可 以 摘 述 手动 部 署 一 个 应 用 需要 的 所 有 步骤 。 模 板 〈template ) 就 是 资 
源 依赖 和 应 用 层 安 疙 指令 的 文本 描述 。 





12.1.1 Heat 模板 


OpenStackHeat 利用 OpenStack 提供 的 基础 设施 把 模板 转换 成 应 用 。 从 模板 生成 应 用 栈 ( stack ) 
的 过 程 称 为 stacking。 当 然 ， 你 需要 一 个 模板 来 利用 Heat 的 功能 。 毫 无 疑问 ，Heat 的 设计 者 想 让 
这 个 项 目 能 尽快 对 OpenStack 社区 有 所 帮助 ， 为 了 这 个 目的 ， 他 们 采用 了 现 有 的 AWS 
CloudFormation 模板 格式 ， 它 在 Heat 中 被 指定 为 Heat CloudFormation-compatible format ( CFN )。 
AWS CloudFormation 发 布 于 2011 年 4 月 ， 比 Heat 早 很 多 年 ， 很 多 可 用 的 CFN 模板 可 以 在 
https://aws.amazon.com/cloudformation/aws-cloudformation-templates/ 找 到 。 


CFN 模板 的 解析 如 代码 清单 12-1 所 示 。 





代码 清单 12-1 AWS CloudFormation 模板 格式 
{ 








"AWSTemplateFormatVersion" : "version date", 
"Description™ : "USON string", 声明 栈 输 入 类 型 和 值 
"Parameters"”: { ee 
为 参考 资源 和 输出 步骤 分 配 键 / 值 对 
"Mappings™" : { ee 

i 
}, i Si 

Re ， 为 栈 的 创建 指定 逻辑 条 件 
"Conditions™ : { A 
}, 声明 资源 依赖 和 应 用 安装 过 程 
"Resources™ : { 二 
}, -二 口才 HH 是 担 
六 个 世 的 输 中 类 

a 志明 在 栈 过 程 完成 时 提供 的 输出 数据 

一 


} 
} 


虽然 支持 CFN 格式 让 大 量 现 有 的 模板 对 Heat 有 用 是 很 有 价值 的 ， 但 它 毕 竟 是 为 AWS 设计 
的 格式 。Heat 项 目 成 员 确 定 OpenStack 特定 的 格式 是 有 需求 的 ， 然 后 创建 了 Heat OpenStack 
Template ( HOT )。CFN 模板 使 用 JSON ,而 HOT 模板 使 用 YAML 格式 。HOT 规格 自从 Icehouse 
发 行 版 (2014 年 4 月 ) 后 成 为 Heat 的 标准 模板 版 本 。 

查看 代码 清单 12-2 所 示 的 删 减 版 的 HOT 模板 ， 它 基于 OpenStack Heat 官方 文档 中 的 
WordPress 部 署 模板 。 
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代码 清单 12-2 Heat OpenStack Template (HOT) 例子 


heat_ template version: 2013-05-23 





描述 模板 
description: > -二 一 人 
Heat WordPress template to Support F20, using only Heat OpenStack-native 
resource types, and without the requirement for heat-cfntools In the image. 
WordPress is web software you can use to create a beautiful website or blog. 
This template installs a single-instance WordPress deployment using a Local 
MySQL database to store the data. 
声明 输入 类 型 和 什 


parameters: 本 


image_id: 

type: string 

description: > 
Name or ID of the image to use for the WordPress server. 
Recommended values are fedqora-20.1386 or fedora-20.x86_64; 
get them from http://cloud.fedoraproject.org/fedora-20.i386.qcow2 
or http://cloud.fedoraproject .ord/fedqora-20.x86 64.dqcow2  . 

default: fedora-20.x86_64 


reSOUICES.: 二 


一 
wordpress_instance: D 
type: OS::Nova: :Server 声明 资源 依赖 和 应 用 安装 过 程 
properties: 


image: { get_ param: image_id } 


user_data: 
str_replace: 
template: | 
#!/bin/bash 一 


yum ~y install mariadb mariadb-server httpd wordpress 


outputs: Ts 


， 机 ~ 
WebsiteURL: 声明 在 栈 过 程 完 成 时 提供 的 输出 数据 


description: URL for WordPress wiki 








CFN 和 HOT 模板 共 于 基础 组 件 ， 但 它们 是 不 同 的 模板 语言 。 这 些 模板 语言 可 以 想象 成 是 
程序 语言 。 当 考虑 一 门 语言 的 基础 属性 时 , 你 可 能 一 开始 不 会 把 编排 模板 看 成 是 一 门 程序 语言 。 
一 门 计算 机 语言 是 用 来 让 指令 和 计算 机 系统 交互 的 形式 语言 。 如 采 模 板 是 一 门 形式 语言 ， 那 么 
Heat 服务 就 是 这 门 语 言 的 解释 各 。 模 板 解 释 的 中 间 的 ( 处 理 步 又 ) 输出 是 在 OpenStack 提供 的 
基础 设施 上 部 著 应 用 需要 的 所 有 指令 的 总 和 。 解释 的 最 后 输出 是 通过 模板 语言 指令 实现 一 个 部 
署 系统 ,产生 的 应 用 程序 输出 定义 在 模板 outputs( 输出 ) 部 分 。 组 成 Heat 项 目的 各 个 应 用 见 
> a 
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表 12-1 Heat 应 用 


名 称 朱 述 
heat 与 Heat API 通信 的 CLI 工具 
heat—-api OpenStack 原生 的 REST API 
heat-api-cfn AWS 类 型 的 查询 API (兼容 AWS CloudFormation APDI) 
heat~engine 从 API 获取 输入 和 解释 模板 语言 的 引擎 


下 一 步 ， 我 们 将 会 使 用 Heat 创建 一 个 栈 。 


12.1.2 ”Heat 演示 

本 市 将 会 看 到 使 用 Heat 命令 行 工具 部 署 一 个 容 单 的 应 用 栈 。 然 而 Heat 可 以 做 的 远 不 止 简 单 
部 署 应 用 。Heat 可 以 与 OpenStack Ceilometer( 中心 化 的 计量 服务 ) 相 结合 ， 基 于 模板 中 描述 的 
策略 动态 扩展 资源 。 使 用 Heat 进行 目 动 扩容 (autoscaling ) 的 完整 描述 超出 本 书 的 范围 ， 但 可 以 
从 OpenStack Heat 官方 文档 找到 所 有 详细 说 明 : http://docs.openstack.org/developer/heat/。 

回 到 第 2 章 ， 你 使 用 DevStack 部 辕 OpenStack。 这 里 的 例子 将 会 部 署 在 一 个 DevStack 环境 
里 , 但 可 以 使 用 任何 正常 工作 的 Heat 环境 。 如 果 你 已 经 有 了 一 个 正常 工作 的 Heat 环境 ， 可 以 跳 
到 后 面 的 “确认 栈 依赖 ”小 节 。 


1. 在 DevStack 启用 Heat 








如 果 你 正在 使 用 第 2 章 部 署 的 DevStack 环境 ,必须 对 你 的 local.conf 脚本 进行 一 些 配 置 变 更 
来 启用 Heat。 在 你 的 DevStack 环境 中 访问 命令 行 解 释 需 ， 添 加 代码 清单 12-3 所 示 的 内 容 到 
/opt/devstack/local.conf。 


代码 清单 12-3 在 DevStack 的 local.conf 启 用 Heat 


# Enable Heat (orchestration) Service 





enable_service heat h-api h-api-cfn h-api-cw h-eng 


HEAT_BRANCH=stable/juno 


新 的 配置 指定 所 有 的 Heat 服务 启动， 同时 确认 你 想 使 用 的 代码 分 文 和 发 行 版 。 在 你 的 配置 
确保 HEAT_BRANCH 中 的 发 行 版 名 称 匹配 你 的 配置 中 的 其 他 组 件 的 发 行 版 名 称 。 

一 旦 在 local.conf 文件 中 完成 Heat 的 配置 ， 重 复 第 2 草 的 stacking ( stack.sh ) 和 unstacking 
(unstack.sh ) 过 程 ， 然 后 如 代码 清单 12-4 所 示 设 置 你 的 环境 变量 。 





Ee 


ed 








代码 清单 12-4 ”设置 环境 变量 





I 从 /opt/devstack 目录 运行 这 条 命令 


$ source OpEenrc -二 一 一 Eee 


你 可 能 会 想起 ， 在 第 3 音 里 ，DevStack 提供 的 openrc 脚本 在 你 的 shell 设置 变量 ,允许 你 
与 OpenStack 服务 交互 。 
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现在 你 应 该 有 一 个 正常 工作 的 Heat 环境 和 对 环境 的 控制 台 访 问 。 下 一 步 ， 需要 确认 你 的 第 
一 个 栈 的 所 有 依赖 都 满足 。 


2. 确认 栈 依赖 


你 需要 通过 几 个 额外 的 步骤 来 验证 你 的 环境 是 否 已 经 准备 好 stacking。 首 先 ， 你 需要 确保 可 
以 使 用 命令 行 访问 OpenStack 组 件 ， 包 括 表 12-1 提 到 的 heat 应 用 。heat 应 用 的 完整 命令 参考 
可 以 在 OpenStack 官方 文档 找到 : http://docs.openstack.org/cli-reference/content/heatclient_commands. 
html。 按 代码 清单 12-5 所 示 运 行 heat 命令 来 确认 基本 Heat 操作 正常。 





代码 清单 12-5 ”列举 Heat 栈 


$ heat stack-list 





EE 于 二 二 二 二 汪汪 于 二 二 二 二 一生 汉 直 二 二 二 二 二 二 二 二 一 二 二 二 半 一 十 
| id | stack_name stack_status creation time 

i 于 二 和 + 
十 过 二 二 一直 二 二 二 二 一 二 二 一 一 二 二 二 二 二 十 


如 预期 的 一 样 , 在 这 个 例子 中 没有 栈 被 列举 出 来 , 但 这 个 步骤 确认 了 适当 的 环境 变量 已 经 被 
设置 并 日 Heat 已 经 被 安装 。 





是 Heat 还 是 环境 ”如果 在 前 面 的 步骤 遇 到 错误 ， 仔 细 查 看 错误 。 错 误 看 起 来 像 是 Heat 特定 错误 
还 是 缺少 凭证 ?为 了 确认 你 的 变量 已 经 被 设置 ， 尝 试 访问 已 知 正常 工作 的 如 Nova 这 样 的 服务 : 
nova 1ist。 如 果 能 访问 Nova， 那 么 问题 可 能 是 Heat 造成 的 ; 如 果 不 能 访问 Nova， 那 么 问题 
可 能 是 环境 变量 造成 的 。 


现在 已 经 确认 能 访问 OpenStack 组 件 ， 需 要 查看 现 有 的 系统 中 哪些 镜像 是 可 用 的 。 你 可 
能 从 前 面 的 曹 节 中 回想 起 Glance 服务 负责 镜像 。 使 用 Glance， 如 代码 清单 12-6 所 示 列 举 所 
有 镜像 。 








代码 清单 12-6 ”列举 Glance 镜像 


$ glance image-list 


Dr 中 计生 汪汪 二 和 :由 
| ID | Name | Disk Format | 
es 二 二 和 三 三 导 三 三 二 三 二 中 .so 二 
| b5...d9 | Fedora-x86_64-20-20140618-sda | qcow2 | 

后 二 二 和 上 es 


如 果 你 在 DevStack 环境 启用 了 Heat， 就 会 注意 到 DevStack stacking 过 程 会 添加 一 个 新 的 镜 
像 。 新 的 Fedora 镜像 将 会 在 Heat stacking 例子 中 使 用 .如 宁 不 使 用 DevStack ,也 没有 列举 的 Fedora 
镜像 ， 可 按 5.2.2 节 的 “镜像 管理 ”小 市 的 演示 添加 一 个 。 





适用 于 Heat 的 镜像 ”在 Heat 模板 里 可 以 指定 任何 镜像 , 但 有 些 模板 使 用 的 Heat CloudFormation 
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工具 必须 预 安 装 在 镜像 上 。Fedora F20 锁 旬 (http://cloud.fedoraproject. oreg/fedora-20.xX86_64.qcow2 ) 
包含 heat-cfntools， 它 是 Heat 镜像 的 常见 选择 。 


你 的 准备 的 最 后 一 步 是 创建 一 个 SSH 密 钥 对 , 在 stacking 过 程 中 用 来 注入 到 主机 。 跟 镜像 一 
样 ,模板 里 可 以 指定 任何 密 钥 对 。 针 对 本 次 演示 ,你 将 会 创建 一 个 新 的 名 为 heat_key 的 密 钥 对 来 
提供 给 Heat 实例 使 用 ， 如 代码 清单 12-7 所 示 。 确 保 你 已 经 保存 heat_key 以 防震 要 对 实例 进行 下 
接 访 问 。 














代码 清单 12-7 ”生成 Heat 的 SSH 密 钥 对 





$ nova keypair-add heat key > heat key.priv 
$ chmod 600 heat_key.priv 


现在 你 可 以 准备 使 用 镜像 、 主 机 类 型 和 密 钥 对 为 你 的 环境 创建 Heat 栈 。 是 时 候 完 成 这 个 栈 
过 程 和 O 〇 


3， 局 动 一 个 Heat 栈 


现在 你 有 了 所 有 需要 的 东西 ， 除 了 模板 。 好 消息 是 在 OpenStack Git 仓库 有 很 多 现 有 的 模板 
( https://github.com/openstack/heat-templates )， 更 多 模板 可 以 在 AWS CloudFormation Templates 网 
站 找到 ( http://aws.amazon.com/cloudformation/ aws-cloudformation-templates/ )。 这 个 流程 的 最 后 
一 步 是 选择 一 个 模板 和 定义 模板 的 参数 。 你 可 以 回想 本 章 前 面 小 市 , 模板 参数 就 是 用 来 描述 一 个 
具体 栈 的 具体 属性 的 简单 的 键 / 值 对 。 

为 此 ， 我 们 使 用 一 个 Heat 模板 来 部 署 一 个 开源 的 内 容 管理 系统 WordPress。 








这 有 什么 大 不 了 


你 可 能 经 历 过 从 头 开 始 部 署 像 WordPress 这 样 有 高 度 依赖 的 软件 包 的 痛苦 。 如 果 你 没有 , 你 需 
理解 在 这 些 系统 中 的 多 层 复杂 的 相互 依赖 来 了 解 应 用 编排 是 如 此 令 人 惊讶 。 

在 软件 包 管 理 系统 像 APT 和 YUM 普遍 使 用 之 前 ， 开 源 工 具 必 须 从 源 代码 编译 。 经 常 一 个 软件 包 
的 源 代码 依赖 于 多 个 其 他 软件 包 。 你 不 仅 要 从 源 代 码 编译 很 多 不 同 的 软件 包 ， 而 且 特 定 的 库 经 常 不 得 
不 被 显 式 引用 作为 链接 ( 编译 ) 过 程 的 一 部 分 。 任 何 从 头 开 始 编译 Apache Web 服务 器 以 支持 PHP、 
MySQL、LDAP、SSL 等 的 人 都 会 知道 其 中 的 痛苦 。 二 进 制 软件 包 也 不 能 避免 依赖 问题 ， 反 而 导致 俗 
话 所 说 的 “依赖 地 狱 ”。 

令 人 惊讶 的 是 像 Heat 这 样 的 工具 使 用 一 个 模板 、 少 量 参数 和 提供 的 几 分 钟 时 间 就 可 以 完成 一 个 
人 手工 几 周 时 间 才 能 做 完 的 事情 。 


代码 清单 12-8 部 署 了 一 个 名 为 mystack 的 WordPress 栈 。 修 改 例子 中 与 你 的 系统 不 同 的 参数 。 


代码 清单 12-8 启动 Heat 栈 





$ heat stack-create mystack \ 二 栈 名 称 
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-uU http://git.openstack.org/cgit/openstack/heattemplates/ 模板 的 URL 地 址 
plain/hot/F20/WordPress_ Native.yaml \ 


-P image_id=Fedora-x86_64-20-20140618-sda \ 

-P key_name=heat_key 二- 密 钥 对 参数 ee 

+ 一 一 一 一 一 一 一 一 一 二 一 一 一 一 一 一 一 一 一 一 一 一 十 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 十 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 + 
| | stack_name | stack_ status | creation time | 
于 三 三 三 且 二 二 二 三 三 再 二 二 三 二 二 生 二 三 三 一 二 于 二 三 二 二 二 全 二 二 二 二 生生 和 二 二 才 二 二 二 二 + 
| -bal9, | mystaek | CREATE_IN_ PROGRESS | 2015-03-04T08:59:022 | 
十 一 二 = 二 二 三 二 一 二 二 二 三 一 一 一 = 一 一 一 二 一 一 十 二 二 二 一 一 一 一 一 一 一 二 一 一 一 二 一 一 二 二 一 十 = 一 二 三 二 二 二 和 一 一 一 一 二 一生 一 一 一 二 十 


如 果 命 令 成 功 执行 ,你 将 会 看 到 列举 的 mystack 栈 的 初始 状态 为 CREATE_IN_PROGRESS 。 
为 了 检查 栈 的 状态 ， 可 以 运行 代码 清单 12-9 所 示 的 heat stack-1List 命令 。 








代码 清单 12-9 ”列举 Heat 栈 状态 


$ heat stack-list 


十 一 一 一 一 一 一 一 一 一 于 二 二 二 二 二 二 二 二 二 二 二 二 人 DO + 
| ia | stack name | stack_ status | creation time | 
十 一 一 一 一 一 一 一 一 一 十 一 一 一 一 一 一 一 一 一 一 一 一 十 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 十 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 十 
| eb...29 | mystack | CREATE COMPLETE | 2015-03-04T08:59:022 | 
十 一 一 一 一 一 一 一 一 一 十 一 一 一 一 一 一 一 一 一 一 一 一 | 十 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 十 


当 你 的 栈 完 成 后 ， 它 的 状态 会 变 成 CREATE_COMPLETE。 
如 果 遇 到 问题 或 者 只 是 想 检 查 与 栈 相关 的 事件 ， 可 以 运行 代码 清单 12-10 所 示 的 命令 。 








代码 清单 12-10 ”列举 mystack 事件 


$ heat event-list mystack 


十 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 十 。。 .十 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 十 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 十 。. 十 
| resource_name | tat eason. | status | 

于 二 三 反 三 二 二 三 二 三 全 二 全 尖 三 三 二 三 三 去 a 站 二 十 十 
| wordpress_instance | state changed | CREATE COMPLETE le 
| wordpress_instance se | state changed | CREATE_IN_ PROGRESS Re 
下 二 让 于 二 二 二 十 一 一 一 二 和 二 一 一 一 一 二 二 一 语 由 于 Pg 和 


你 可 以 看 到 本 例 中 这 个 简单 的 部 署 中 只 存在 两 个 事件 。 然 而 ,在 一 个 目 动 扩容 环境 中 ,你 可 
以 看 到 基础 设施 和 栈 里 面 的 应 用 之 间 协 同 区 互相 关 的 许多 事件 。 
现在 栈 已 经 完成 ， 可 以 使 用 代码 清单 12-11 所 示 的 heat stack-show 命令 查看 栈 的 详情 。 








代码 清单 12-11 显示 mystack 详情 


$ heat stack-show mystack 


by A De 
| Property | Value 

十 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 十 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 十 。. 十 
| capabilities | [] 

| outputs | [ 

| | "outbat. Valuere hetp:/710L0.0.4/mordpress., 

| | "qeseription™: URL. f0r Wordpriess Wiki", 

| | 


"output_ key": "WebsiteURL" 
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parameters | { 
| “Ostyataek rd TEb. ,22907 
| "OS::stack name": "mystack", 
| "image_id": "Fedora-x86_64-20-20140618-sda", 
| "db_password"™: "******™, 
| "instance type": "ml.small", 
| "db_name": "wordpress", 
| "db username™: VT****kwy 
| "db_root_password™: "xx 大 大 大 大 "7 


"key_name": "heat_ keyn" 


你 可 以 在 代码 清单 12-11 中 看 到 显示 的 mystack 的 详情 ， 包 含 outputs 值 。 在 这 个 例子 
中 ,output_value 提供 了 一 个 由 stacking 过 程 创 建 的 WordPress 网 站 的 引用 。 当 然 , 输 出 值 可 
以 是 模板 定义 的 任何 内 容 。 

最 后 ,删除 与 你 的 栈 相 关 的 所 有 数据 并 释放 所 有 基础 设施 ， 可 以 如 代码 清单 12-12 所 示 使 用 


stack-delete 命令 。 


代码 清单 12-12 ”删除 mystack 


$ heat stack-delete mystack 





下 Fe he Ee + 
| ia | stack name | stack_ status | creation time | 
二 二 二 三 二 生 二 二 站 三 二 二 二 二 二 二 二 二 二 二 二 二 人 Pe + 
| eb...29 | mystack | DELETE_IN PROGRESS | 2015-03-04T08:59:022 | 
二 二 二 二 三 二 三 三 二 二 4 再 二 二 三 关 二 二 生生 生生 二 二 二 二 二 三 研 二 径 径 DS + 


在 这 一 方 ， 你 已 经 学 习 了 OpenStack Heat， 同 时 在 你 的 环境 中 完成 了 mystack 例子 。 

我 们 已 经 看 过 了 OpenStack Heat 编排 项 目 , 它 是 作为 OpenStack 框架 的 一 部 分 进行 开发 和 维 
护 的 。 然 而 , 有 很 多 其 他 自动 化 工具 可 以 利用 OpenStack 资源 , 但 它们 不 是 OpenStack 官方 项 目 。 
Ubuntu Juju 是 一 个 OpenStack 相关 的 项 目 。 下 一 节 将 会 学 到 如 何 使 用 Juju 来 对 OpenStack 进行 应 
用 编排 。 





Ce 米国 风 从 


Ubuntu Juju 是 一 个 完全 关注 编排 的 项 目 ， 如 系统 级 别 的 OpenStack 部 敬 和 应 用 级 别 的 
WordPress 部 署 。Juju 可 以 用 来 部 署 裸 设备 ， 但 这 个 内 容 超出 了 本 书 的 范围 。 这 里 我 们 将 会 专注 
于 使 用 OpenStack 资源 进行 应 用 级 别 的 部 署 。 

可 以 把 Juju 想象 成 一 个 基于 代理 的 编排 系统 。 你 将 会 在 你 的 个 人 计算 机 上 配置 一 个 Juju 客 
户 端 ， 以 使 用 基础 设施 资源 的 OpenStack 实例 。Juju 将 一 个 bootstrap 代理 部 署 到 你 的 OpenStack 
部 署 中 的 一 个 租户 ， 然 后 通过 它 的 编排 引擎 ， 使 用 这 个 租户 来 部 赣 额 外 的 应 用 和 依赖 。 
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OpenStack Heat 和 Ubuntu J uju 


OpensStack Heat 和 Ubuntu Juju 都 有 各 目的 优势 和 不 足 ， 这 取决 于 你 的 使 用 案例 。Heat 与 
OpenStack 的 集成 更 紧密 ， 但 Juju 人 允许 使 用 其 他 云 框架 的 资产 ( 如 Amazon、HP 和 OpenStack )。 
后 ( 也 就 是 在 云 资源 上 的 应 用 的 自动 化 部 署 )， 两 种 工具 完成 相同 的 任务 。 由 你 来 确定 


在 开始 之 前 ， 你 需要 确保 自己 有 权限 使 用 Nova 创建 实例 和 使 用 OpenStack Swift 存储 对 象 。 





12.2.1 为 Juju 准备 OpenStack 

过 简单 地 提供 OpenStack 环境 的 信息 给 你 的 Juju 配置 ， 可 以 在 没有 通过 shell 设置 任何 
四 变量 的 情况 下 使 用 Juju。 但 这 个 过 程 可 能 很 乏味 ， 因 此 我 会 尽量 减少 必须 进行 的 配置 
的 数量 。 垃 运 的 是 ，OpenStack Dashboard 可 以 用 来 生成 设置 适当 shell 变量 的 脚本 。 


] uju 运行 在 哪里 


不 像 本 书 介 绍 的 几乎 所 有 的 其 他 的 东西 ( 不 包括 Ceph 和 Fuel )，Juju 的 安装 不 一 定 要 放 在 
OpenStack 节点 上 。 事 实 上 , Juju 安装 程序 可 以 运行 在 Linux、Mac OSX 甚至 Windows 上 在 12.2.1 
节 中 执行 的 操作 将 会 为 使 用 Juju OpenStack 环境 。Juju 没有 服务 器 病 的 组 件 要 安装 在 
OpenStack 节点 上 。 这 个 区 别 在 第 行 了 概述 ， 解 释 了 OpenStack 官方 核心 项 目 和 相关 项 目的 
不 同 。Juju 属于 关联 这 个 类 别 ， En OpenStack 以 外 的 云 框架 


利用 你 想 使 用 的 Juju 的 用 户 标 ER 
识 登 录 OpenStack Dashboard , 尖 尘 
你 想 包含 Juju 资源 的 租户 。 在 Access 8 Security 
“Projects ”下 拉 末 单 中 ， 单 击 
“Access 区 Security”， 人 然后 导航 到 
APIAccess 标签 。 在 这 个 标签 中 ， AP| Endpoints ©Download OpenStack RCFile © ©| 
单 击 “Download OpenStack RC 
File”， 如 图 12-1 所 示 。 
这 样 做 会 生成 基于 你 选择 的 租户 和 当前 用 户 设 置身 份 认证 变量 的 脚本 。 你 将 被 提示 去 下 载 这 
个 脚本 ， 该 脚本 使 用 的 命名 惯例 为 [tenant name]-openrc.sh。 
复制 这 个 文件 到 你 的 OpenStack 环境 ， 人 然后 按 代码 清单 12-13 所 示 执 行 这 个 脚本 。 


Security Groups Key Pairs Floating IPs API Access 


12-1 下 载 OpenStack RC 











代码 清单 12-13 ”运行 openrc.sh 脚本 


$ source demo-openrc.sh 


Please enter your OpenStack Password: 
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最 好 现在 访问 你 的 OpenStack 服务 来 确保 这 些 变量 正确 设置 。 例 如 ， 确 保 像 glance 
image-1ist 这 样 的 命令 执行 没 出 错 。 

下 一 步 是 确保 你 拥有 可 以 被 Juju 使 用 的 镜像 。 很 快 就 会 介绍 什么 镜像 是 被 文 持 的 ; 现在 只 需 
要 知道 Ubuntu 12.04 是 能 被 Juju 使 用 的 比较 流行 的 镜像 。 如 果 在 你 的 环境 中 有 一 个 Ubuntu 12.04 
镜像 ， 使 用 glance image-1ist 命令 记 下 这 个 镜像 的 ID。 如 果 你 没有 Ubuntu 12.04 镜像 ， 如 
代码 清单 12-14 所 示 注 册 一 个 ， 然 后 记 下 这 个 镜像 的 ID ， 它 将 会 在 下 一 节 使 用 。 





代码 清单 12-14 为 」uju 注册 一 个 镜像 


$ glance imade-create --name="Upbuntu 12.04" \ 


——-is-public=true --Qisk-format=cqcow2 \ 

——cContainer-format=bare \ 

——location http://cloud-images.ubuntu.com/precise/current/precise-servercloudimg— 
amd64—-diskl1.img 


ES EE 十 
| Property | Value 

人 二 宇和 卡 二 计生 旺 二 于 十 

i 记 下 镜像 ID 
| ia | ce7616a6-b383-4704-be3a-00b46c2de81d | 有 4 一 吏 像 

| name | UBaneu T2804 | 

EE ee 十 





现在 已 经 准备 好 安装 Juju 了。 


12.2.2 ”安装 Juju 
你 将 会 在 一 个 Ubuntu 14.04 实例 上 安装 Juju, 但 这 个 例子 一 样 可 以 在 其 他 Juju 支持 的 平台 工作 。 
为 了 安装 最 新 版 本 的 Juju， 你 必须 添加 Juju 仓库 到 你 的 软件 包 管 理 系 统 。 代码 清 单 12-15 显 
示 了 如 何 添 加 Juju 仓库 、 更 新 软件 包 索 引 和 从 你 的 软件 包 管 理 系统 安装 Juju 二 进 制 文件 。 





代码 清单 12-15 ”安装 juju 二 进 制 文件 


$ sudo add-apt-repository ppa: juju/stable 


$ sudo apt-get update 


$ sudo apt-get install juju-core 


如 果 有 完成 前 面 的 命令 时 没有 出 现 错误 ， 那 么 Juju 二 进 制 文件 已 经 安 痛 到 你 的 系统 。 


应 该 使 用 哪个 仓库 Juju 官方 文档 建议 你 从 Juju 指定 仓库 ppa:juju/stable 安 闭 Juju， 如 果 遇 到 问 
题 再 回 退 到 Ubuntu universe 人 仓库。 如果 你 正在 使 用 Ubuntu 14.04.1 版 本 ，sudo apt-get install juju 
命令 将 会 安装 Juju 1.20.11-0ubuntu0.14.04.1 版 本 。 在 编写 本 章 时 ， 我 发 现 Juju 软件 包 作为 正常 
Ubuntu universe 仓库 的 一 部 分 ， 可 以 更 好 地 与 OpenStack 一 起 工作 。 


下 一 步 , 如 代码 清单 12-16 所 示 生 成 一 个 Juju 配置 文件 ,这 个 文件 将 会 生成 在 ~/.juju 目录 下 。 
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代码 清单 12-16 生成 一 个 JUju 配置 文件 


$ JjJuju init 


A boilerplate environment configuration file has been written 
to /home/sysop/.juju/environments .yaml. 


Edit the file to configure your juju environment and run bootstrap. 

使 用 你 喜欢 的 文本 编辑 需 ， 查 看 刚刚 生成 的 environments.yaml 文件 。 你 将 会 看 到 一 些 框架 
类 型 的 样 例 配置 ， 包 括 ec2 、openstack 、manual 、maas、Jjoyent 和 azure。 

如 代码 清单 12-17 所 示 , 通过 添加 新 的 myopenstack 环境 和 设置 它 为 默认 的 环境 修改 你 的 
Juju 配置 文件 (environments.yaml )。 





代码 清单 12-17 ”修改 你 的 」uju 配置 





default: myopenstack 设置 你 的 配置 为 默认 
environments: 
myopenstack: 
type: openstack “如果 正在 使 用 浮动 p， 可 设置 为 true 


use-floating-ip: false 


use-default-secgroup: true 


设置 为 你 想 用 的 租户 网 络 





network: "private" 


region: "RegionOne" J 
auth-mode: userpass 设置 为 OpenStack 区 域 


default-series: precise 

通过 修改 environments.yaml 文件 ， 你 已 经 给 Juju 提供 了 关于 你 的 OpenStack 部 署 的 基本 信 
县 。 但 Juju 需要 额外 的 部 并 特定 信息 去 实现 。 

在 第 4 章 中 介绍 了 Juju charm 它们 是 定义 服务 和 应 用 如 何 集成 为 虚拟 基础 设施 的 一 组 安 
装 脚本 。charm 被 Juju 使 用 的 方式 就 跟 HOT 和 CNF 模板 被 OpenStack Heat 使 用 一 样 。charm 参 
考 镜 像 类 型 的 要 求 ， 而 不 是 具体 镜像 。 例 如 ， 一 个 charm 可 能 需要 一 个 Ubuntu 12.04 操作 系统 ， 
但 它 不 要 求 这 个 镜像 的 特定 实例 。Juju 如 何 知道 在 哪里 找到 一 个 Ubuntu 12.04( 或 其 他 ) 镜 像 呢 ? 
你 必须 为 Juju 定义 你 现 有 的 OpenStack Glance 镜像 来 使 用 它们 。 

在 代码 清单 12-18 中 , 被 Juju 使 用 的 镜像 元 数据 ( metadata ) 为 现 有 的 Ubuntu 12.04 镜像 生成 。 











代码 清单 12-18 ”生成 镜像 元 数据 


$ juju metadata generate-image \ Ubuntu 12.04 镜像 的 ID (来 自 Glance ) 


-i Od6d8f6d-870c-4c58-aa96-ccc0e65df206 \\ a 


-rr RegionOne \ 











-u http://192.168.1.178:5000/v2.0/ \ Keystone 认证 URL 
-d /home/sysop \\ 所 一 一 一 一 一 元 数据 的 根 路 径 
-S precise \ 操作 系统 的 发 行 版 的 架构 


-a amd64 1 
操作 系统 的 发 行 版 
image metadata files have been written to: 


/home/sysop/images/streams/vl1. 
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For Juju to use this metadata, the files need to be Put into the 


image metadata search path. There are 2 options: 


1. Use the --metadata-source Parameter when bootstrapping: 


juju bootstrap --metadqata-source /home/cody 


2. Use image-metadata-url in S$JUJU_ HOME/environments.yaml 
Configure a http server to serve the contents of 
/home/sysop 


and set the value of image-metadata-url accordingly. 


代码 清单 12-18 中 生成 的 镜像 元 数据 将 会 存储 在 [root path]/images 目录 下 。 这 个 元 数据 会 被 
Juju 用 来 将 charm 要 求 转 换 成 你 的 OpenStack 部 署 中 的 资源 请 求 。 

Juju 现在 已 经 配置 了 你 的 系统 和 镜像 信息 ， 但 一 旦 一 个 适当 的 镜像 为 一 个 特定 charm 启动 ， 
额外 的 应 用 安装 过 程 必须 在 这 个 实例 上 进行 。Juju 使 用 一 个 基于 代理 的 模型 , 把 Juju 工具 (代理 ) 
放 在 镜像 里 ， 然 后 使 用 这 些 代 理 完成 charm 部 署 过 程 。 可 以 在 同一 个 OpenStack 部 署 的 不 同 租户 
间 使 用 不 同 版 本 的 Juju 工具 ， 就 像 可 以 使 用 不 同 的 操作 系统 镜像 一 样 。 

为 了 工具 在 部 署 间 的 灵活 性 ， 你 还 必须 生成 工具 的 元 数据 ， 就 跟 生 成 镜像 元 数据 一 样 。 代 码 
清单 12-19 显示 了 如 何 生成 工具 元 数据 。 








代码 清单 12-19 生成 工具 元 数据 


$ juju metadata generate-tools -d /home/sysop 





Finding tools in /home/sysop 


在 这 里 生成 的 工具 元 数据 存储 在 [root path]/tools 目录 里 。 这 个 元 数据 包含 用 来 生成 元 数据 的 
工具 版 本 相关 的 信息 ， 这 些 信息 将 会 被 Juju 用 来 决定 它 应 该 为 具体 部 署 使 用 哪些 工具 。 

现在 你 已 经 配置 了 Juju 系 统 、 镜 像 和 工具 信息 ,准备 bootstrap 你 的 租户 ,Juju 在 bootstrapping 
过 程 放置 控制 (bootstrap ) 实例 到 一 个 租户 。 这 个 bootstrap 实例 与 Juju 客户 端 和 你 的 OpenStack 
部 署 通信 来 协调 应 用 编排 。 

bootstrap 人 允许 应 用 和 点 在 OpenStack 内 部 网 络 保持 陋 离 ， 直 到 它们 完全 双 露 。 例 如 ， 如 条 你 
部 署 一 个 负载 均衡 的 WordPress 环境 (不止 一 台 Web 服务 右 )， 只 需要 负载 均衡 各 又 露 到 外 部 ， 
而 Web 和 数据 库 服 务 兹 可 以 仍然 与 外 部 隔离 。 当 然 ， 你 可 以 手动 这 样 做 ,但 通常 手动 管理 这 些 
市 点 需要 对 其 访问 ， 束 很 难 做 到 隔离 了。 

代码 清单 12-20 显示 了 OpenStack bootstrap 过 程 。 

















代码 清单 12-20 ”bootstrapping 一 个 OpenStack 租户 


$ juju bootstrap \ 








镜像 和 工具 目录 的 根 路 径 


—-—metadata-source /home/sysop \ 


——upPpload-tools 一 V 





”上 传 工具 到 部 团 


WARNING ignoring environments .yaml: 


using bootstrap config in file 
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"/home/sysop/.juju/environments/myopenstack.JjJenv" 
Bootstrapping environment "myopenstack" 
Starting new instance for initial state server 
Launching instance 
- 25e3207b-05e5-428c-a390-4fb7d6849d6d 
Installing JuJu agent on bootstrap instance 
Waiting for address 
Attempting to connect to 10.0.0.2:22 
Logging to /var/log/cloud-init-output.log on remote host 
Installing add-apt-repository 
Adding apt repository: 
Running apt-get update 
Running apt-get upgrade 
Installing package: git 
Installing package: curl 
Installing package: cpu-checker 
Installing package: bridge-utils 
Installing package: rsyslog-gnutls 
Fetching tools: 
Bootstrapping Juju machine agent 


Starting Juju machine agent (jujud-machine—0) 


一 旦 bootstrap 成 功 完成 , 你 将 准备 在 你 的 租户 里 使 用 Juju。 在 任何 时 候 都 可 以 通过 代码 清 
单 12-21 所 示 的 命令 检查 你 的 Juju 环境 的 状态 。 





代码 清单 12-21 检查 ] uju 状态 


$ juju status 
environment: myopenstack 
machines: 
ToT: 
agent—-state: started 
agent~-version: 1.20.11.1 
dns—-name: 10.0.0.2 
instance-id: 6a6lc0db-9a32-4bba-b74d-44e09692210c 
instance-state: ACTIVE 
series: precise 
hardware: arch=amd64 cpu-cores=1 mem=2048M root-disk=20480M 
state-server-member-status: has-vote 


services: {} 


现在 是 时 候 使 用 Juju charm 在 OpenStack 部 署 WordPress 了 。 


12.2.3 部署 charms CLI 
以 代码 清单 12-22 作为 参考 ， 使 用 Juju 部 署 WordPress。 


代码 清单 12-22 ”使 用 ] uju 部 署 WordPress 





$ JjJuju deploy wordpress 


Added charm "cs:precise/wordpress-27" to the environment. 
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当 发 出 部 署 命令 时 ， 你 的 请 求 将 会 发 送 到 你 的 bootstrap 实例 。 你 可 以 使 用 代码 清单 12-23 
所 示 的 命令 检查 你 的 部 署 状态 。 





代码 清单 12-23 ”检查 WordP ress 的 部 署 


$ JjJuju status 





environment: myopenstack 


machines: 
W 0 W 。 
。 。 > 
A 未 NN | 
i Es. WordPress 的 新 实例 
agent-state: pending 
dns-name: 10.0.0.3 OpenStack 实例 ID 


instance-id: edq50ey7af-0426-4574-a0e0-587abc5c03ce ee 
instance-state: ACTIVE 

series: precise 

hardware: arch=amd64 cpu-cores=1 mem=2048M root-disk=20480M 


services: 
wordpress: 二 一 一 一 一 新 的 WordPress 服务 


charm: cs:precise/wordpress-27 








服务 不 参 露 出 去 


exposed: false 
relations: 
loadbalancer: 
— wordpress 
units: 


wordpress/0: 





服务 状态 标志 





agent-state: pending 
machine: "1" 
public-address: 10.0.0.3 


从 OpenStack 的 角度 来 看 ， 你 可 以 通过 代码 清单 12-24 所 示 的 Nova 命令 来 查看 bootstrap 节 
点 部 署 的 实例 。 





Es 


$ nova list 


十 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 十 。 ,一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 十 
ID Networks 
| | ] ,bootstrap 实例 
十 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 十 。 .一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 十 
4 ,WordPress 实例 
| 6a6lc0db-9a32-4bba-b74d-44e09692210c |. .private=10.0.0.2 | | 
| ed50e7af-0426-4574-a0e0-587abc5c03ce |.. private=10.0.0.3 | a 
十 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 十 .一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 十 


你 的 WordPress 服务 正在 准备 供应 过 程 中 , 但 WordPress charm 存在 MySQL 上 的 依赖 。 克 é 
像 部 署 WordPress 服务 ， 你 必须 先 部 署 MySQL 并 关联 它 到 WordPress 实例 ， 如 代码 清单 12-25 
所 示 。 


代码 清单 12-25 ”部 署 余下 的 依赖 


$ JjJuju deploy mysql 
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$ juju add-relation mysqdql wordpress 


juju 的 依赖 Juju 当前 不 提供 自动 化 的 依赖 解决 方案 。 你 必须 阅读 charm 文档 来 确定 依赖 charms 
的 文档 可 以 在 https://jujucharms.com/ 找 到 。 


一 日 OpenStack 提供 所 有 资源 ， 在 每 个 实例 上 的 代理 将 安装 WordPress 和 依赖 的 组 件 。 每 个 
节点 上 的 组 件 可 以 通过 Juju WordPress charm 指定 配置 。 例 如 ，Web 服务 磊 将 会 配置 从 数据 库 服 
务 需 消耗 资源 ， 负 载 均衡 希 将 会 配置 为 均衡 Web 服务 融 间 的 流量 。 

当 你 的 WordPress 服务 的 agent-state (代理 状态 ) 从 Pending (待定 ) 变 成 started 
(已 开始 )， 如 代码 清单 12-23 所 示 的 status (状态 ) 命令 ， 你 的 服务 准备 好 了 。 但 在 可 以 访问 
你 的 服务 之 前 ， 你 必须 首先 暴露 它 ， 如 代码 清单 12-26 所 示 。 








代码 清单 12-26 ”暴露 WordP ress 服务 
$ juju expose wordpress 
你 的 WordPress 部 署 现 在 可 以 通过 代码 清单 12-23 中 status 命令 所 示 的 公共 地 址 访问 。 
现在 你 已 经 完成 了 使 用 charm 进行 WordPress 的 Juju 部 署 。 如果 你 想 获 得 使 用 Juju 部 署 的 
实例 的 控制 台 访 问 , 通过 代码 清单 12-23 所 示 的 status 命令 确定 机 带 的 ID, 然后 使 用 代码 清 
单 12-27 所 示 的 命令 。 这 个 例子 演示 了 如 何 获得 到 机 大 1 的 控制 台 (SSH ) 访问 。 





代码 清单 12-27 J uju 实例 的 SSH 访问 
$ juju ssh 1 


机 硕 ID 
下 一 步 将 会 部 署 Juju GUI， 这 样 就 可 以 在 你 的 环境 中 图 形 化 地 部 署 Juju charm。 








12.2.4 ”部 署 Juju GUI 


一 旦 你 在 OpenStack 租户 完成 bootstrap, 你 就 可 以 部 辕 Juju GUI。 我 们 首先 会 介绍 GUI 的 部 
署 ， 然 后 使 用 GUI 部 署 WordPress。 
再 一 次 ， 如 代码 清单 12-28 所 示 检 查 你 的 Juju 环境 状态 。 





代码 清单 12-28 检查 ] uju 环境 状态 


$ JjJuju status 


environment: myopenstack 
machines: 
VOM 
agent—-state: started 
agent-version: 1.20.11.1 
dns-name: 10.33.4.54 
instance-id: de0fbd7l1l-a223-4be4-862b-8flcb6472640 
instance-state: ACTIVE 


280 第 12 章 利用 OpenStack 进行 云 编 排 


series: precise 
hardware: arch=amd64 cpu-cores=1 mem=1024M root-disk=25600M 
state—-server-member-status: has-vVote 


services: {} 


ee 12-28 中 可 以 看 出 ，myopenstack 的 Juju 环境 里 的 唯一 一 个 万 点 是 bootstrap 


方 态 ， 即 机 桥 0。 
ee 单 12-29 所 示 ， 部 团 和 骏 露 Juju GUI charm 到 你 的 环境 


代码 清单 12-29 ”部 署 和 暴露 ] uju GUI 
$ juju deploy juju-gui 
Added charm "cs:precise/jJjuju-gui-109" to the environment. 





$ JjJuju expose juju-gui 


现在 Juju GUI 已 经 部 署 和 暴露 ， 如 代码 清单 12-30 所 示 检 查 部 团 的 状态 。 





代码 清单 12-30 ”检查 ] uju 环境 状态 


$ JjJuju status 


environment: myopenstack 


services: 
jujJu-gui: 


charm: cs:precise/juju-gui-109 





exposed: true 服务 被 骏 露 
units: 
juju-gui/0: 
agent—-state: started 
agent—-version: 1.20.11.1 
运行 在 机 器 1 上 





machine: ™1" 
open—~ports: 
— 80/tcp 

— 443/tcp 
public-address: 10.33.4.53 


在 前 面 的 例子 中 ,你 可 以 看 到 服务 代理 已 经 开始 (agent-state: started ),， 服务 目前 
是 肥 圳 的 (exposed: true )， 服 务 的 公共 地 址 是 10.33.4.53 (public-address:10.33.4. 
3 
使 用 Web 浏览 硕 ， 答 试 使 用 你 的 环境 列举 的 公共 地 址 访问 Juju GUI。 一 旦 你 访问 Juju GUI 
网 站 ， 显 示 的 是 登录 界面 ， 如 图 12-2 所 示 。 
在 bootstrap 过 程 中 ,会 生成 你 的 环境 的 admin 密码 ， 这 个 密码 可 用 来 登录 Juju GUI。 你 可 
以 使 用 代码 清单 12-31 所 示 的 命令 获取 你 的 aqmin 密码。 


使 用 80/443 端口 





使 用 IP 10.33.4.53 





Ol 





代码 清单 12-31 获取 admin 密码 
$ more ~/.juju/environments/myopenstack.jJenyv | grep admin—-secret 
admin—-secret: bc03a7948all756leb5111437888b5f9 
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使 用 用 户 名 aqmin， 并 日 将 admin 密码 作为 密码 ( 本 例 是 bpc03a7948a1l1756leb5111 
437888b5f9)， 登 录 到 Juju GUI。 

一 旦 登录 , 将 会 展现 一 个 为 你 的 引导 环境 提供 图 形 化 界面 的 主页 界面 使 用 主页 界面 左上 方 
的 搜索 条 ， 如 图 12-3 所 示 搜 索 一 个 WordPress charm。 








RB JUJU 





@ uu 


Environment 


OM 


Recommen 
| | 枯 


Wordpress 


pr ‘ Re PC 





图 12-2 juju GUI 登录 图 12-3 Juju GUI 主页 


当 你 单 击 charm 的 名 宇 时 ， 将 会 这 你 到 charm 面板 。 单 击 一 个 WordPress charm， 将 会 市 你 
到 如 网 12-4 所 示 的 一 个 charm 面板 。 





Wordpress ~ 
Deployed 0 tmes Recommended by the Juju team 
precise | Recommended 

Location: lp:~charmers/charms/precise/wordpress/trur domy omas | 


LINKS: 2DUTCe BYUgs 


12-4 ”添加 WordPress charm 到 画布 ( canvas ) 


在 WordPress charm 面板 ， 单 击 “Add to My 
Canvas”。 WordPress charm 将 作为 一 个 服务 被 添 


加 a ew uni k (2) 
加 到 你 的 面 布 ， 但 还 没 分 配 机 器 资源 。 在 主页 界 。 Newwn ryopenstack 
面 单 击 Machines 标签 来 查看 机 融资 源 的 分 配 ， Autoplace ormanually i 
如 图 12-5 所 未 O place 1 
在 “Machines” 标 签 ， 你 可 以 在 “New Units” wordpress/D 四 SO 
列 中 看 到 为 新 的 WordPress 服务 请 求 的 资源 , 单 击 
“Auto Place” 按 钮 ,将 会 分 配 机 融资 源 ， 如 图 12-6 12-5 ”查看 未 分 配 的 服务 资源 请 求 


所 示 。 
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New units myopenstack (3) Sub-containers not 
, newl & Roort container 已 
You have placed all of 
Hardware details not available wordpress/0 © 
YOUr UNlcs 


12-6 ”查看 已 分 配 的 服务 资源 的 分 配 情 况 





现在 你 已 经 分 配 机 需 资 源 到 新 的 WordPress 服务 , 但 这 些 资 源 还 没有 提交 。 单 击 该 界面 右 下 

方 的 “Commit” 按 钮 提交 你 的 资源 分 配 ， 如 图 12-7 所 示 。 
-日 提交 资源 到 你 的 服务 ， 将 会 返回 到 主页 界面 的 “Services” 标 签 。 

现在 Juju 正 忙 于 构建 你 的 WordPress 服务 ， 但 不 会 构建 所 有 外 部 依赖 和 关系 。WordPress 服 
务 依赖 于 MySQL 服务 。 

重复 你 曾经 遵循 的 过 程 ， 即 从 wordpress charm 安装 WordPress 服务 和 从 mysql charm 安装 
MySQL 服务 。 一 旦 WordPress 和 MySQL 服务 都 正常 运行 〈 当 它们 都 是 绿色 时 )， 在 画布 界面 构 
建 WordPress 和 MySQL 间 的 关系 ， 然 后 提交 变更 。 一 旦 服务 启动 和 这 个 关系 构建 好 ， 你 的 画布 
应 该 看 起 来 如 图 12-8 所 示 。 























Confirm your changes 


1 service added 


wordpress has been added 


1 unit added 


1 wordpress unit 


1 machine added 





Newl created 
12-7 ”确认 服务 供应 12-8 WordPress 和 MySQL 之 间 的 服务 关系 


现在 准备 使 用 你 的 服务 , 但 此 时 不 仅 服务 没有 被 又 露 ， 还 不 知道 服务 使 用 的 地 址 。 在 你 的 画 
布 上 单 击 “WordPress” 节 上 点， 将 会 出 现 WordPress 服务 面板 。 在 WordPress 面板 上 ， 可 以 通过 拨 
动 “Expose” 请 块 和 确认 又 露 操作 来 好 露 你 的 服务 。 

一 旦 服务 被 又 露 ， 单 击 正在 运行 的 WordPress 服务 实例 ( wordpress/0 )， 将 会 加 载 服 务 查 看 
面板 ， 如 图 12-9 所 示 。 在 服务 查看 面板 ， 你 可 以 看 到 服务 使 用 的 公共 地 址 和 给 口 。 

使 用 Web 浏览 硕 ， 使 用 你 的 公共 地 址 尝试 访问 新 的 WordPress 网 站 ， 如 图 12-10 所 示 。 














12.3 
Wordpress 
W ee 
wordpress/0 
了 1 unit 
1 Tunning units = Relations 
id enNc 
和 wordpress/0 
12-9 ”查看 服务 查看 面板 
503 错 1 话 ' ? 
如 果 遇 到 503 错误 ,可 能 是 内 存 不 足 一 一 默 
认 charm 提供 一 个 非常 小 的 虚拟 机 。 
降低 WordPress 内 存 使 用 的 一 个 方法 是 在 
提交 资源 之 前 ， 通 过 调整 服务 来 减少 


WordPress 插件 加 载 的 数量 。 在 WordPress 服 
务 面板 ， 将 “tuning” 从 standard 改 为 bare， 
如 图 12-11 所 示 。 
或 者 你 可 以 修改 部 署 来 使 用 更 大 的 实例 。 
现在 你 已 
很 多 应 用 这 个 过 程 来 使 用 公有 云 和 私有 云 。 





小 结 





Heat 是 OpenStack 官方 项 目 。 


Juju 是 一 个 OpenStack 相关 的 项 目 。 
Juju 是 一 个 基于 代理 的 编排 工具 。 
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ey 10.33.4.57/wp-admirvinstalLphp be 








ee 
Azerbaycan dill 
BubnrapckyM 
Bosanski 
Catala 
Cymraeg 
Dansk 


Deutsch (Schweiz) 
Deutsch 

EMMNVvIKG 

English (Australia) 
English (UK) 
English (Canada) 








12-10 ”访问 你 的 WordPress 网 站 


wordpress 
ce Drecise/word 


tuning (string) 





12-11 将 re 从 standard 改 为 bare 
经 使 用 Juju GUI 部 署 了 WordPress 和 它 的 相关 依赖 。 你 可 以 重复 使 用 charms 部 署 


OpenStack Heat 项 目 可 以 用 来 在 OpenStack 集群 上 自动 化 部 署 应 用 。 


Heat 可 以 使 用 Amazon Web Services (AWS ) CloudFormation 模板 格式 和 它 自 己 的 HOT 格式 。 
Ubuntu Juju 可 以 用 来 在 基于 Amazon 和 基于 OpenStack 的 公有 云 和 私有 云 上 目 动 化 部 团 应 用 


附录 “” 安 闭 Linux 








本 附录 介绍 Ubuntu Linux 发 行 版 14.04 LTS 在 单一 物理 服务 器 的 基本 安装 。 即 使 你 过 去 用 过 
Linux， 也 可 能 想 回 顾 一 下 这 个 教程 ， 即 便 只 是 理解 用 于 本 书 例子 的 底层 系统 的 配置 。 


Ubuntu Linux 发 行 版 14.04 LTS 与 14.04 连 到 一 起 的 缩写 LTS 表明 是 长 期 支持 版 本 ( Long Term 
Support )。Ubuntu 的 这 个 14.04 分 支 将 会 至 少 支持 到 2019 年 4 月 。 


虽然 Linux 在 本 书 中 作为 底层 操作 系统 ,但 本 书 不 是 介绍 Linux 的 书 。 本 附录 包含 了 为 没有 
Ubuntu Linux 经 验 的 读者 提供 的 简单 安 汛 指导。 这 个 指导 将 会 介绍 安装 过 程 的 每 一 步 。 

如 果 你 知道 如 何 回 答 安 装 右 询问 的 问题 , 那么 安装 过 程 就 是 小 亲 一 人 碟 。 本 附录 提供 了 这 个 过 
程 中 每 一 步 配 置 的 通用 回答 。 在 任何 时 候 遇 到 解决 不 了 的 问题 ， 最 简单 的 就 是 重新 开始 。 一 旦 知 
道 怎样 做 ,整个 安装 过 程 可 以 在 15~20min 完成 。 如 条 遇 到 具体 硬件 问题 ， 或 者 想 更 深入 学 习 这 
个 过 程 ， 请 查看 Ubuntu 社区 网 页 : https://help.ubuntu.com/community/Installation。 

















sse 开始 


需要 一 些 软 人 硬件 才能 开始 。 首 先 ， 需 要 一 些 物 理 便 件 。 可 以 是 全 面 正 规 的 服务 硕 ， 或 者 简单 
的 旧 人 台式 机 或 便携 式 计算 机 。 

在 本 附录 的 Linux 安装 演示 中 , 我 使 用 一 台 融 有 4 个 有 线 以 太 网 网 卡 的 服务 硕 。 如 果 在 你 的 
便 件 上 有 一 个 有 线 网 络 接口 卡 (NIC )， 那 么 在 你 的 服务 硕 上 的 网 络 设 备 的 名 字 和 适 配 需 的 数量 
可 能 与 本 例 相 同 ， 也 可 能 不 同 。 在 适当 的 地 方 ， 可 以 对 本 例 进行 修改 以 匹配 你 的 环境 。 

最 后 ， 需 要 下 载 Ubuntu 14.04 LTS ISO 的 最 新 稳定 副本 ,可 以 在 http://releases.ubuntu. 
cormy14.04/ 找 到 。 本 指导 将 会 基于 使 用 命令 行 ， 因 此 服务 需 的 具体 ISO 安装 是 没 问题 的 。 如 果 襄 
欢 使 用 加 面 版 ， 也 可 以 ,但 对 于 本 书 的 任何 例子 是 不 需要 的 。 

请 确保 为 目 己 的 便 件 架构 下 载 了 正确 的 ISO。 通常 ， 为 老 旧 的 (32 位) 便 件 (5 年 以 上 ) 选 
择 x86 版 本 ， 为 新 的 (32 位 或 64 位 ) 硬件 选择 x86-64 版 本 。 如 果 没 把 握 ， 那 么 查看 你 的 具体 
CPU 以 确认 它 是 32 位 架构 还 是 64 位 架构 。 























A.2 初始 化 配置 





本 附录 包含 以 下 主要 安装 步 又: 





图 ”初始 化 配置 一 一 设置 语言 和 位 置 ; 

图 网络 配置 一 一 连接 硬件 到 网 络 ; 

图 用 户 配置 一 一 为 操作 系统 创建 新 用 户 ; 

图 磁盘 和 分 区 一 一 为 操作 系统 构建 人 ” 盘 配置 ; 





国 基本 系统 配置 一 一 软件 安 疙 和 初始 化 服务 配置 。 


让 我 们 开始 吧 。 


sa 初始 化 配置 





在 本 节 中 ， 你 需要 提供 关于 语言 和 位 置 的 信息 。 
如 图 A-1 所 示 ， 选 择 需 要 的 语言 并 按 回 千 键 。 本 书 选择 的 是 天 语 ， 但 你 可 以 选择 任何 语言 。 
注意 ， 这 是 为 你 的 Ubuntu 安 闻 的 语言 ;其 他 额外 的 软件 ， 如 OpenStack， 有 它 上 自己 的 语言 设置 。 




























Gaeilge 
Arabic Galevn 
Asturianu Gujarati 
Benapycran | N11J 
BbnrapcKm Hinmdi 
Bengali Hrvatsk1 
Bosanski Hasyar 
Cataléa Bahasa Indonesia 
Cestina Islenska 
Dansk Italiano 
Deutsch 日 本 请 
Dzongkha dhnyeo 
EMAMNULER Kasak 
Khmer 


图 A-1 初始 化 界面 ， 选 择 语 





如 图 A-2 所 示 的 提示 ， 如 采 你 在 之 前 的 安 
小 中 遇 到 过 问题 或 者 你 是 非常 着 层 的 人 ， 可 以 
测试 硬件 的 安装 磁盘 或 内 存 ; 否则 ， 通 过 键盘 
的 方 癌 键 选 择 “Install Ubuntu Server” 并 按 回 车 
键 继续 进行 安 北 。 

在 选择 “Install Ubuntu Server” 后 , 将 再 一 
次 被 要 求 选择 语言 ， 如 图 A-3 所 示 。 选 择 需 要 
的 语言 并 继续 。 





Language 





Halayalarm 
Harathi 
Nepali 
Nederlands 
Norsk bokmal 
Norak nynorsk 


Punjabi (Gurmukhi) 


Polsk1l 


Portugues do Brasil 


Portugues 
Romana 
Pycckmm 
Samerillii 
NE 


A-2 
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Tagalog 
TuUrkce 

Uyehur 

YKPAaALIHCEKS 
Tigng Viét 
中 文 (简体 ) 
中 文 ( 移 体 ) 


















Ubuntue 


Install Ubunty Server 


选择 “|nstall Ubuntu Server” 
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附录 


安装 Linux 


[11] Select a languaae 


Choose the language to be used for the installation process. The selected languaxe Will 
3150 be the default language for the installed system. 








Languagse: 
5 - No localization 二 
Plbanian = Shgqip 
Arabic - 号 
Psturian - sturianu 
Basque - Euskara 
Belarusian - benapyckan 
Bosnian = Bosanski 
Bulsarian - BbnrapcEwn 
Catalan - Catala 
chinese (Simplified)  - 中 文 (简体 ) 
chinese (Traditional) - 中 文 ( 繁 体 ) 
Croatian - Hrvatski 
Czech - Cestina 
Danish - [Dansk 
Dutch Neder Lands 
| | E 上 站 章 1 性 站 
Esperanto Esperanto 
Estonian - Eesti 
Finnish =- Suomi 
French =- Francais 
Balician - Galean 
Berman - Deutsch 
Greek - ENATELRO 
BO Backy> 


下 一 步 ， 选 择 位 置 ， 如 图 A-4 所 示 。 


上 已 刁 


The selected location will be used to 


这 一 步 会 设置 时 区 和 其 他 位 置 相关 的 配置 。 


SElECt your location 


set your time zone and also for example to help 


select the system locale. Normally this should be the country where you live. 


This is a shortlist of locations based on the languaze You selected, Choose "other” if 


Uour location is mot listed. 


Country, territorny or area: 


“BO BAack» 


Antigua and Barbuda 
Pustralia 
Botswana 
Canada 

Hona Kong 
India 
Irelard 

New ZEaland 
Niger ia 
Fhilippines 
Slingapore 
south Africa 





United Kingdom 


ambia 
zimbabwe 
other 
A-4 选择 位 置 
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如 果 想 启用 键盘 检测 , 在 下 一 界面 中 ( 见 图 A-5 ) 选择 “Yes”。 我 从 来 没有 布局 检测 的 困扰， 
只 是 简单 回答 几 个 额外 的 问题 。 





[!] Configure the keyboard 


YOu Can try to have your keyboard layout detected by pressing a series of keys. If you do 
not want to do this, you will be able to select your keyboard layout trom a list. 


Detect keyboard layout? 


“GO Backy <YESY》 





A-5 ”配置 键盘 


回 和 窜 了 关于 语言 和 位 置 的 问题 后 ,额外 的 安 猴 包 将 会 从 ISO 中 加 载 , 如 图 A-6 所 示 。 这些 组 
件 将 会 在 下 一 安 半 步 又 中 使 用 。 这 一 步 不 用 人 工 干 预 。 











Loading additional components | 


Retrieving Nic-firmare 





A-6 ”加 载 额外 的 组 件 





下 一 节 将 会 进行 基本 网 络 配置 。 


xs 网 络 配置 


本 方 将 会 介绍 网 络 配 置 。 如 朵 你 提供 正确 的 答案 ,这 个 过 程 会 非常 位 单 ， 否则 会 令 你 非 第 肖 
展 。 这 一 步 的 网 络 配置 将 会 用 来 下 载 更 新 软件 包 ， 因 此 你 很 快 就 会 知 拓 它们 是 否 被 正确 配置 。 

本 市 将 会 进行 以 下 配置 : 

加 设置 操作 系统 使 用 的 物理 网 卡 ; 

国 配置 你 的 物理 网 卡 的 卫 地 址 、 子 网 掩 码 和 网 关 ; 

加 配置 操作 系统 的 域名 解析 ; 

加 设置 操作 系统 的 主机 名 和 域名 。 

在 图 A-7 中 ,可 以 看 到 列举 的 4 个 以 太 网 网 卡 。 依据 你 的 便 件 的 物理 接口 的 数目 , 你 可 能 看 
到 的 数量 跟 这 里 的 不 一 样 。 

在 本 例 中 ,我 和 道 我 正在 使 用 接口 eth0， 因 为 它 是 我 的 第 一 个 物理 网 卡 。 我 有 一 根 网 线 连接 
到 这 个 接口 ,这 将 允许 这 人 台 服 务 帮 在 我 的 网 络 上 通信 。 高 级 Linux 管理 员 有 识别 具体 网 卡 的 方法 ， 
但 这 个 内 容 超出 了 本 附录 的 范围 。 羊 运 的 话 ， 你 只 有 一 个 网 卡 ， 或 你 知道 要 选择 哪个 网 卡 。 如 宁 
你 不 知 站 选择 哪个 网 卡 ， 可 以 反复 试验 。 如 条 该 网 卡 不 能 工作 ， 很 快 就 会 知道 。 
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[11] Configure the network 


“Your system has multiple network interfaces. Choose the one to use as the primary network 
interface during the installation. If possible, the first connected network interface 
tound has been selected., 


Primary network interface: 


: Broadcom Corporation NetXtreme IIT BCMST709 Gigabit Ethernet 
: Broadcom Corporation Netxtreme IT BCMST709 Gigabit Ethernet 
: Broadcom Corporation Netxtreme IT BCMS709 Gigabit Ethernet 
: Broadcom Corporation Netxtreme II BCMHS7OS Gigabit Ethernet 


“GO Back> 





图 A-7 选择 一 个 网 卡 


如 果 看 不 到 任何 网 卡 ， 很 可 能 是 你 的 便 件 出 了 故障 ， 或 者 Ubuntu 安 闻 融 不 文 持 你 的 网 卡 。 


找 不 到 网 卡 ” 如 果 找 不 到 网 卡 ， 要 么 是 你 的 网 卡 坏 了 ,要么 是 不 支持 你 的 网 卡 。 最 好 的 方法 是 查 
看 Ubuntu 硬件 和 社区 支持 页 面 (https://wiki.ubuntu.com/HardwareSupport 和 https://help.ubuntu. 
com/community/Installation )。 通 和 常 很 容易 找到 另外 一 张 网 卡 继续 安装 ， 而 不 是 用 不 支持 的 网 卡 。 


这 时 安装 融会 发 送 动态 主机 配置 协议 (DHCP ) 请 求 。 基 于 响应 或 者 没 响 应 ， 可 能 发 生 一 件 
或 两 件 事情 。 如 果 啊 应 失败 ， 意 味 着 你 的 网 络 没 有 配置 DHCP， 将 要 手动 配置 这 个 网 络 。 但 是 ， 
如 果 网 络 已 经 配置 了 DHCP， 可 以 跳 过 ， 继 续 下 一 步 。 

看 一 下 图 A-8。 如 果 你 的 界面 看 起 来 像 图 A-8 中 左 侧 的 图 ， 你 将 会 被 要 求 输入 IP 地 址 ， 你 
需要 按 A.3.1 市 手动 配置 但是， 如果 你 的 界面 看 起 来 像 图 A-8 中 右 侧 的 图 ， 此 时 将 会 询问 你 的 
主机 名 ， 然 后 你 可 以 跳 到 A.3.2 节 。 





[1]) Confia 











Please enter the hostnam for this system. 
(11] Configure the netn 
The hostnam is a Single word that identif 
know what your hostname should be, consult 
Up your oun home network, yOU can Rake SOm 


| Network autocont igurat ion 
| Your network is probably not using the DHCP protocol. 
be slow or some network hardware is not working proper 


HOSTNAame : 


GO Backy 





图 A-8 DHCP 是 否 失败 


在 这 两 种 情况 中 ， 安 朔 过 程 午 是 连续 的 ， 你 不 应 该 返回 到 前 面 。 


A.3.1 手动 配置 网 卡 
如 条 DHCP 配置 失败 , 你 的 界面 应 该 看 起 来 像 图 A-9。 出现 这 个 状况 的 原因 可 能 是 你 选择 了 
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不 正确 的 网 卡 或 你 的 网 络 的 DHCP 没 配置 好 。 


[11] Configure the network 


Network autocontf iguration failed 
Your network is probably not using the DHCFP protocol. Plternatively, the DHCP server may 


be slow or some network hardware is not workine properly. 


<LONT INUe» 





A-9 ”继续 手动 配置 


如 果 你 希望 DHCP 工作 ， 可 以 使 用 其 他 网 卡 重 试 这 个 配置 ， 如 图 A-10 所 示 。 田 一 方面 ， 如 
果 你 手动 选择 了 正确 的 网 卡 ， 并 且 不 使 用 DHCP， 那 么 可 以 继续 一 个 手动 网 络 配 置 。 


[11] Configure the network 


From here you can choose to6 retry DHCP network autocont iguration (twhich may succeed ift 
your DHCP server takes a long time to respond) or to configure the network manually. Some 
DHCP servers reguire a DOHCP hostname to be sent by the client, so UaU Can als0 choose to0 
retry DHCP network autoconf iguration with a hostname that you provide. 


Network configuration method: 
Retry network autocontf iguration 


Retry network autoconf iguration with a DHCP hostname 
LONt 12uUre network manually 


Do not configure the network at this time 


《GD Back> 





A-10 手动 配置 网 络 


在 继续 手动 配置 之 前 ， 需 要 下 列 信息 : 

图 ”这 台 主 机 的 IP 地 址 ; 

国 主机 地 址 的 子 网 掩 码 ; 

图 ”主机 网 络 子 网 的 路 由 器 网 关 地 址 ; 

国 域名 解析 的 域名 系统 ( DNS ) 服务 器 地 址 。 

如 有 果 你 没有 这 些 信息 ， 与 熟悉 你 网 络 的 人 交流 获得 这 些 地 址 。 


1. 配置 主机 IP 地 址 





要 开始 手动 配置 ， 需 要 输入 你 的 主机 的 IP 地 址 ， 如 图 A-11 所 示 。 我 使 用 的 地 址 是 
10.163.200.32， 但 这 取决 于 这 台 主 机 连接 的 网 络 。 你 的 IP 地址 取决 于 你 主机 的 网 络 。 
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[! Configure the network 
The IP address is unigue to your computer and is either: 


* Four numbers separated by periods; or 


* Blocks of hexadecimal characters separated by colons (IPv6). 


You can also optionally specify a CIDR netmask. 

If you don t know what to use here, consult your network administrator. 
IP address: 

TREELE, BR 


《GO Back> <Cont inue> 





图 A-11 为 接口 配置 |Pv4 地 址 


2. 配置 子 网 掩 码 


下 一 步 ， 你 需要 输入 子 网 掩 码 ， 如 图 A-12 所 示 。 你 不 需要 知道 这 个 掩 码 做 什么 ,但 它 是 网 
络 的 必需 配置 。 


[11] Configure the network 


| The netmask is used to determine which machines are local to your network,. Consult your 
network administrator if you do not know the value. The netmsk should be entered as 
| tour numbers separated by periods. 


| Netmask: 





BO Backy <*Cont inue 





A-12 ”配置 子 网 掩 码 


简 而 言 之 ,IP 地 址 就 像 街道 地 址 。 街 道 地 址 是 独一无二 的 , 但 街道 可 能 包含 很 多 房子 。 这 个 
子 网 掩 码 就 像 是 这 个 街道 的 说 明 ， 告 诉 你 街道 从 哪里 开始 到 哪里 结束 。 共 享 相同 IP 地 址 范围 和 
子 网 的 主机 被 认为 在 相同 的 广播 域 ， 因 此 你 可 以 认为 这 是 在 相同 的 街道 。 
3. 配置 网 络 的 网 关 地 址 

如 果 配 置 正确 ,你 的 主机 现在 可 以 与 相同 网 络 (广播 域 ) 的 主机 通信 。 但 想 要 与 这 个 域 之 外 
的 网 络 通信 ， 如 互联 网 ， 即 使 在 安装 完成 之 前 。 为 此 ， 必 须 指定 网 关 地 址 ， 如 图 A-13 所 示 。 

这 个 网 关 地 址 是 和 你 的 主机 在 相同 广播 域 的 一 个 地 址 , 用 来 从 你 的 主机 路 由 流量 到 其 他 网 络 
上 的 路 由 域 。 


4. 配置 DNS 服务 器 


最 后 ， 你 想 解 析 主 机 地 址 为 主机 名 。 当 访问 谷歌 时 ， 你 不 会 想 要 说 :“ 现 在 访问 
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74.125.225.148。” 你 只 想 说 :“ 现 在 访问 www.google.com。 在 本 例 中 , www 是 主机 名 , google.com 
是 域名 。 为 了 完成 这 个 域名 解析 ， 你 需要 提供 一 台 DNS 服务 大 的 地 址 。 





[11] Configure the network 


The gateway is an IP address (four numbers separated by periods) that indicates the 
gatewWay router, also known as the default router. All traffic that goes Outside your LAN 
tfor instance, to the Internet) is sent through this router. In rare circumstances, you 
may have no router; in that case, you can leave this blank. If you don t know the proper 
answer to this question, consult your network administrator. 


Gateway: 


“GD Backy> <Cont inuey 





A-13 配置 网 天 





不 像 网 络 地 址 ，DNS 地 址 不 需要 指定 位 置 或 网 络 。 在 A-14 中 ， 显 示 了 谷歌 的 公共 DNS 服 
务 器 。 如 果 不 能 确定 DNS 地 址 ， 与 你 的 网 络 管理 员 联 系 。 


[!!] Configure the network 


The name servers are used to look up host names on the network. Please enter the IP 
addresses (not host names) of up to 3 name servers, separated by spaces. Do not use 
commas. The first name server in the list will be the first to be queried. If you don't 
want to use any name server, just leave this field blank. 


Name server addresses: 


<Go Back> <Cont inue> 





A-14 配置 DNS 服务 器 





现在 ， 你 的 核心 网 络 配置 已 经 完成 。 下 一 节 将 会 配置 主机 名 和 域名 。 








A.3.2 ”配置 主机 名 和 域名 


一 个 计算 机 名 称 有 两 个 成 分 : 主机 名 ， 用 来 区 分 具体 主机 或 服务 ; 域名 ， 用 来 指定 通常 与 组 
织 相关 的 高 级 别 的 名 字 。 不 需要 得 到 太 多 的 细 市 ， 假 设 你 想 命 令 你 的 服务 右 为 devstack， 域 名 为 
example.com。 你 主机 的 完全 限定 域名 ( Fully Qualified Domain Name ，FQDN ) 将 会 是 devstack. 
example.com。 

你 可 以 在 安装 过 程 设置 主机 名 和 域名 , 有 两 种 方式 可 以 实现 。 第 一 种 是 在 生产 中 配置 一 些 东 
西 : 为 每 台 主 机 使 用 一 个 完全 限定 域名 。 这 意味 看 跟 主 机 名 和 域名 相关 的 IP 地 址 记录 必须 存在 
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于 某 些 DNS 服务 套 。 竺 运 的 是 , 如 末 你 正在 家 里 使 用 你 的 便携 式 计 算 机 加 载 Linux, 不 需要 真正 
的 完全 限定 域名 ， 特 别 是 如 果 你 正在 使 用 Linux 为 一 个 单 节 点 部 署 OpenStack。 基 本 上 ， 如 果 你 
所 处 的 环境 可 以 使 用 真正 的 完全 限定 域名 ， 你 就 应 该 使 用 它 。 如 果 完 全 限定 域名 不 可 用 , 那 就 简 
单 地 创造 主机 名 和 域名 。 

如 图 A-15 所 示 输 入 你 的 主机 名 。 


[!] Configure the network 


Please enter the hostname for this system. 


The hostname is a single word that identifies your system to the network. If you don't 
know what your hostname should be, consult your network administrator. If you are setting 
up your own home network, you can make something up here. 


Hostname: 


<Go Back> <Cont inue> 





A-15 配置 主机 名 


如 图 A-16 所 示 输 入 你 的 域名 。 


[1] Configure the network 


The domain name is the part of your Internet address to the right of your host name. It 
js often something that ends in .com, .net, .Edu, or .org,. If you are setting up a home 
network, you can make something up, but make sure you use the same domain name on all 
Jour computers. 


Domain name: 


“BO Back’y <Cont inues 





A-16 ”配置 域名 





现在 网 络 配 置 已 经 完成 。 


ss 用 户 配 置 


用 户 配 置 很 简短 。 基 本 上 是 提供 安 竣 创建 的 用 户 相 关 信 息 。 
首 乞 ， 输 入 用 户 的 真实 名 称 ， 如 网 A-17 所 示 ， 然 后 继续 。 
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| [LO Set up Users and passwords | 


A user account will be created for you to use instead of the root account for 
non-administrative activities. 


Please enter the real name of this user,. This information will be used for instance as 
default origin for emails sent by this user as Well as any prosram which displays or UseES 
the user's real name. Your full name is a reasonable choice. 


Full name for the new user: 
Devstack UserE 


Pe er 


《GD Backy <Cont invuey 





A-17 设置 用 户 全 名 





下 一 步 , 你 需要 提供 用 户 的 实际 用 户 名 或 账号 名 称 。 如 图 A-18 所 示 输 入 用 户 名 , 然后 继续 。 


[!! Set up users and passwords 
Select a username for the new account. Your first name is a reasonable choice. The 
username should start with a lower-case letter, which can be followed by any combination 
of numbers and more lower-case letters. 


Username for your account: 


《60 Back> <Cont inue> 





A-18 设置 账号 的 用 户 名 
如 图 A-19 所 示 为 新 用 户 提 供 密 码 。 
[!!] Set up users and passwords 


Please enter the same user password again to verify you have typed it correctly. 


Re-enter password to verify: 


BO Back> <Cont inue> 





A-19 设置 密码 











下 一 个 界面 允许 你 加 密 用 户主 目录 ( 见 图 A-20 )。 这 对 多 用 户 或 更 面部 署 确实 更 有 有 用。 虽然 
OpenStack 服务 融 可 能 被 很 多 人 访问 ， 但 这 些 人 不 会 直接 在 操作 系统 上 有 账号 。 我 通常 不 会 在 这 
种 类 型 的 系统 加 密 用 户 的 目录 ,但 这 取决 于 你 。 

现在 你 已 经 完成 用 户 配 置 。 可 以 开始 进行 磁盘 分 区 。 
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[!] Set up users and passwords 


You may configure your home directory for encryption, such that any files stored there 
remain private even if your computer is stolen. 


The system will seamlessly mount your encrypted home directory each time you login and 
automatically unmount when you log out of all active sessions. 


Encrypt your home directory? 


《60 Back> 《YeS> 





A-20 ”加 密 用 户主 目录 


xs ”磁盘 和 分 区 


在 服务 硕 上 配置 磁盘 和 分 区 可 能 是 最 重要 的 配置 步 又 之 一 , 因为 这 个 操作 很 难 恢复 。 摘 述 配 
置 存储 设备 或 Linux 文件 系统 分 区 的 最 佳 实践 超出 本 附录 的 范围 。 下 面 将 会 介绍 基本 的 手动 的 磁 
盘 和 分 区 配置 ( 见 图 A-21 )。 








[!!] Partition disks 


The installer can guide you through partitioning a disk (using different standard 
schemes) or, if you prefer, you can do it manually. With guided partitioning you will 
still have a chance later to review and customise the results. 


If you choose guided partitioning for an entire disk, you will next be asked which disk 
should be used. 


Partitioning method: 


Guided - use entire disk 
Guided - use entire disk and set up LVM 


Guided - use entire disk and set 证 PE LVH 


《6G0 Back> 





A-21 手动 进行 磁盘 分 区 


或 者 ,你 可 以 使 用 “Guided” 设 置 选项 之 一 ,提供 文件 系统 的 默认 值 和 挂 载 点 ( 目录 结构 的 
位 置 )。 在 Linux 管理 中 ， 理 解 挂 载 护 和 文件 系统 很 午 要 ,但 这 些 超出 本 附录 的 范围 。 

使 用 OpenStack， 我 们 最 关心 的 是 提供 OpenStack 存储 资源 的 设备 和 服务 保 ， 而 不 是 与 具体 
服务 个 相关 的 存储 。 


找 不 到 卷 或 磁盘 跟 网 卡 一 样 ， 如 果 找 不 到 存储 设备 ， 可 能 是 你 的 设备 坏 了 或 者 设备 不 被 支 持 。 

最 好 是 查看 Ubuntu 硬件 和 社区 支持 网 页 ( https://wiki.ubuntu.com/HardwareSupport 和 https://help. 
ubuntu.com/community/Installation )。 通 常 很 容易 找到 另外 一 个 硬件 继续 安装 ， 而 不 是 用 不 支持 的 
硬件 。 
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现在 使 用 的 是 尽 可 能 简单 的 手动 配置 , 但 这 些 配 置 不 会 在 生产 服务 大 上 使 用 。 如 果 你 对 深入 
学 习 分 区 感 兴趣 ,可 以 查看 Ubuntu 14.04 安装 问 导 :https://help.ubuntu.com/14.04/installation- guide/ 
amd64/。 

在 我 们 的 简单 配置 中 ,将 会 创建 两 个 分 区 。 第 一 个 分 区 作为 交换 分 区 ,第 二 个 是 根 分 区 。 你 
不 需要 知道 这 些 分 区 的 功能 ， 只 应 该 知道 它们 是 安装 的 最 少 卷 要 求 。 











A.5.1 配置 块 设备 ( 磁盘 驱动 器 ) 


图 A-22 显示 了 一 个 单一 的 卷 。 这 个 卷 由 多 个 物理 人 磁盘 组 成 ， 但 它 通 过 存储 适 配 融 展现 给 操 
作 系 统 就 是 一 个 单一 的 卷 。 服 务 天 经 稼 这 样 做 。 如 采 你 使 用 的 是 台式 机 或 便携 式 计 算 机 ， 你 可 能 
有 多 个 磁盘 或 只 有 一 块 物理 磁盘 。 选 择 你 想 用 的 磁盘 ， 然 后 开始 分 区 。 注 意 ， 这 是 最 后 的 变更 机 
会 。 如 来 你 把 变更 号 到 磁盘 ， 束 无 法 回 退 了 。 

停 下 并 阅读 这 里 : 你 的 数据 依赖 它 ”这 是 在 物理 硬件 上 安装 操作 系统 的 教程 。 如 果 你 进行 到 磁盘 

分 区 过 程 ， 将 会 破坏 选择 的 磁盘 或 卷 上 的 所 有 数据 。 如 果 有 疑问 ,物理 移 除 你 想 要 保留 的 磁盘 或 

数据 。 




















[11] Partition disks 





This is an overview of your currently conf igured partitions and mount points. Select a 
partition to modify its settings (file sUstem, mount point, etc.)}, a tree space to create 
partitions, or a device to initialize its partition table. 


Guided partitioning 
Configure iSCSI volumes 


[二 人 11 
E 9 


Undo changes to partitions , 
Finish partitioning and write changes to disk 


<B0 Backy> 


A-22 ”选择 要 分 区 的 磁盘 
一 切 束 红 。 如 图 A-23 所 示 ， 在 设备 上 创建 一 个 空 的 分 区 。 


[!!] Partition disks 


You have selected an entire device to partition. If you proceed with creating a new 
partition table on the device, then all current partitions will be removed. 


Note that you will be able to undo this operation later if you wish. 
Create new empty partition table on this device? 


《60 Back> 





A-23 ”选择 整个 磁盘 
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现在 已 经 在 设备 上 创建 了 一 个 新 的 分 区 表 。 在 图 A-24 中 可 以 看 到 卷 的 所 有 空间 都 标记 为 
“FREE SPACE”, 


[1!] Fartition disks 


This is an overview of your currently conf igured partitions and mount points. Select a 
partition to modify its settings (file system, mount point, etc.)}, a free space to create 
partitions, or a device to initialize its partition table. 


Guided partitionineg 

Configure software RAID 

Configure the Logical Volume Manager 
Conf igure encrypted volumes 

Conf igure isCSI volumes 





上 Em 下 





DELL PERC H 


FREE SPACE 


pri/log 579.8 GB 
Undo changes to partitions 
Finish partitionineg and wite chanzes to disk 


“Bo Backy 
A-24 分 区 菜单 
如 图 A-25 所 示 ， 选 择 你 的 “FREE SPACE”， 然 后 按 回 车 键 。 


[1!] Fartition disks 


This is an overview of your cuyurrently contigured partitions and mount points. Select a 
partition to modify its settinas (file system, mount point, etc.), a free space to create 
partitions, or a device to initialize its partition table. 


Buided partitioning 

Configure software RAID 

Conf igure the Logical Volume Manaeer 
Cont igure encrypted volumes 
Configure iscSI volumes 

( 


SLS1I5 (2,0,0) (sda) = 579.6 GB DELL PERC Hi00 


gf 一 












Undo chanzes to partitions 
Finish partitioning and write changes to disk 


“Bo Back> 


图 A-25 选择 “FREE SPACE” 





现在 是 时 候 从 磁盘 的 可 用 空闲 空间 配置 交换 分 区 和 根 分 区 了 。 


A.5.2 配置 根 分 区 和 交换 分 区 以 及 挂 载 点 
当 显示 图 A-26 所 示 的 亲 单 时 ， 你 可 以 创建 一 个 新 的 分 区 。 
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[!!] Partition disks 


How to use this free space: 


eate a New partit 1onN 
Automatically partition the free space 
Shou Cylinder/Head/Sector informat ion 


《60 Back> 





A-26 创建 一 个 新 分 区 


在 图 A-27 中 你 可 以 看 到 ， 有 多 种 方式 可 以 指定 分 区 的 大 小 。 当 然 , 分 区 的 大 小 取决 于 你 想 
要 分 区 的 类 型 和 人 磁盘 的 大 小 。 我 们 首先 将 会 创建 交换 分 区 。 

通 前 ， 区 换 分 区 至 少 跟 RAM 大 小 一 样 ， 或 可 能 更 大 。 操 作 系 统 使 用 交换 分 区 将 RAM 里 的 
信息 页 交换 到 交换 分 区 框架 。 交 换 为 操作 系统 提供 了 一 种 处 理 内 存 人 雄 片 的 方法 。 简 而 言 之 ,交换 
空间 是 好 的 和 必需 的 。 指 定 你 的 交换 分 区 大 小 ， 然 后 继续 。 





[tI] Fartition disks 
The maximum size for this partition is S579.8 GB. 


Hint: max can be used as a shortcut to specify the maximum size, or enter a percentage 
【e.g "20%") to use that percentage of the maximum size. 


NEwW partition size: 


ST: 


《GD Backy <Continye> 





图 A-27 磁盘 分 区 : 设置 新 分 区 的 大 小 


当 出 现 如 图 A-28 所 示 的 界面 时 ,设置 “Use as” 选 项 为 “swap area”。 完 成 后 ， 选 择 “Done 
Setting up the partition”， 然 后 按 回 车 键 。 


[1!] Partition disks 





YOU are editing partition #1 of SCSIS (2,0,0) {sda). No existing tile system was detected 
in this partition. 


Fartition settines: 
Use as: sWap area 


Bootable flag: off 


Copy data from another partition 
Delete the partition 


发 GD Back> 


A-28 设置 分 区 为 “Swap area” 


你 可 以 在 图 A-29 中 看 到 这 个 交换 分 区 和 显示 的 “FREE SPACE”。 现 在 重复 最 后 几 步 来 创建 
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根 分 区 。 和 选择“FREE SPACE”， 然 后 按 回 车 键 。 


[!1!] Partition disks 


This is an overview of your currently configured partitions and mount points. Select a 
partition to modify its settings (file system, mount point, etc.), 3a free space to create 
partitions, or a device to initialize its partition table. 


Guided partitioning 

Configure software RAID 

Configure the Logical Volume Manager 
Conf igure encrypted volumes 
Configure iSCSI volumes 


SCSI5 (2,0,0) (sda) - 579.8 GB DELL PERC H700 


#1 yt 200.0 GB f 了 二 2 


Undo changes to partit ions 
Finish part itioning and write changes to disk 


《6BD Back> 





图 A-29 选择 “FREE SPACE” 


当 再 一 次 出 现 图 A-30 所 示 的 菜单 时 ， 选 择 
“Create a new partition 。 
这 次 ， 为 0 选择 “Ext4 Journaling file How to use this free space: 


create a New partition 


System ， 议 前 “Mount point 为 “/ ， 如 图 A-31 所 Automatically partition the free Space 
示 。 你 可 以 选择 使 用 其 他 类 型 的 文件 系统 , 但 本 例子 | 
中 Ext3 或 Ext4 都 可 以 。 设 置 挂 载 点 为 “/” 很 重要 ， ee 

否则 就 没有 文件 系统 的 根 了 。 完 成 后 ， 选 择 “Done 

Setting up the partition”， 然 后 按 回 车 键 。 


[!!] Partition disks 





A-30 创建 一 个 新 分 区 


[!!] Partition disks 


You are editing partition #2 of SCSIS (2,0,0) (sda). No existing file system was detected 
in this partition. 


Partition settings: 


Use as: Ext4 journaling file system 
Mount point: 2 

Mount options: defaults 

Label: none 

Reserved blocks: 5% 

Typical Usage: standard 


Bootable flag: on 


Copy data from another partition 


Delete the Er 


<GO Back> 


A-31 设置 分 区 为 Ext4 和 挂 载 点 为 “/” 
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A.5.3 完成 磁盘 配置 


现在 应 该 可 以 看 到 两 个 分 区 ， 如 图 A-32 所 示 。 这 是 安装 操作 系统 的 最 低 分 区 要 求 。 选 择 
“Finish partitioning and write changes to disk”， 人 然后 按 回 车 键 。 





[DO Partition disks 


This is an overview of your currently configured partitions and mount points. Select a 
partition to modify its settings (file system, mount point, etc.), a free space to create 
partitions, or a device to initialize its partition table. 


Guided partitioning 

Configure software RAID 

Configure the Logical Volume Manager 
Conf igure encrypted volumes 

Conf igure iSCSI volumes 


SCSIS (2,0,0) (sda) - 579.8 GB DELL PERC H700 


#1 primary 200.0 GB f swap swWap 
#2 primary 379.8 GB B f ext4 / 


Undo i to ys 


<GoO Back> 





A-32 ”完成 分 区 配置 








当 分 区 写 入 后 会 提供 给 你 卷 概览 报告 , 如 图 A-33 所 示 。 如 果 你 确信 没有 破坏 任何 重要 数据 ， 
继续 并 把 变更 写 到 磁盘 。 


[! Partition disks 


If you continue, the changes listed below will be written to the disks. Otherwise, you 
will be able to make further changes manually. 


The partition tables of the following devices are changed: 
SCSIS (2,0,0) (sda) 


The following partitions are going to be formatted: 
partition #1 of SCSIS (2,0,0) (sda) as swap 
partition #2 of SCSIS (2,0,0) (sda) as ext4 


Hrite the changes to disks? 





A-33 ”完成 磁盘 配置 





现在 声言 、 网 络 、 用 户 和 磁盘 信息 配置 已 经 完成 。 可 以 准备 进行 最 后 的 安 效 步骤 了 。 
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态 忽 ”基本 系统 配置 


在 最 后 一 六， 只 有 很 少 的 配置 。 大 部 分 时 间 是 等 待 系统 安装 软件 包 和 部 闭 你 的 配置 。 
一 旦 分 区 变 更 写 到 位 盘 ， 安 装 带 将 会 开始 基础 软件 包 的 安装 ， 如 图 A-34 所 示 。 














Installing the base system 


Retrievine dpke... 





A-34 ”安装 基础 软件 包 
你 不 需要 输入 代理 信息 ,但 如 果 输 入 了 ， 图 A-35 展示 了 如 何 为 软件 包 管理 硕 配 置 代理 。 


[!] Configure the package manager 


If you need to use a HTTP proxy to access the outside world, enter the proxy information 
here. Dtherwise, leave this blank. 


The proxy information should be given in the standard form of 
"http3s [CIuUser] [:pass] @] host [:port]". 


HTTP proxy information (blank for none): 


«BO Backy <Cont inue» 





A-35 ”配置 软件 包 管理 器 





如 果 在 前 面 的 步 又 你 没有 提供 代理 信息 并 且 不 确定 是 否 需 要 , 询问 你 的 安全 或 网 络 团队 确定 
征 否 需要 代理 。 如 采 你 设置 代理 为 家 寿 网 络 ,， 那 极 不 可 能 使 用 代理 服务 郁 ， 这样 会 造成 额外 的 连 
接 性 问题 。 

在 这 个 步 又 中 ， 将 下 载 和 安 疙 操作 系统 软件 包 ， 此 时 会 显示 一 个 进度 条 ， 如 图 A-36 所 示 。 





Configuring apt 





Retrievine tile 63 of 69 


A-36 获取 软件 包 





下 一 个 界面 让 你 配置 如 何 进行 更 新 〈 见 图 A-37 )。 通 常 ， 我 不 会 在 服务 器 上 自动 安装 安全 更 
新 ， 因 为 我 不 知道 它们 会 破坏 什么 。 这 是 你 的 选择 。 如 果 你 选择 了 目 动 更 新 然后 出 现 故障 ,检查 
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是 否 进行 了 一 次 更 新 。 


[!] Configurine tasksel 


Applying updates on a trequent basis is an important part of keeping your system secure. 


By default, updates need to be applied manually using package management too0ls. 
Alternatively, you can choose to have this system automatically download and install 
Security updates, or you can choose to manage this system over the web as part of a group 
of systems using Canonical's Landscape service. 


How do you want to manage upgerades on this system? 
No automatic updates 


Install security updates automatically 
Hanagse system with Landscape 





A-37 配置 自动 更 新 


应 该 只 有 一 种 服务 你 想 从 如 图 A-38 所 示 的 羔 单 中 安装 , 就 是 OpenSSH。OpenSSH 是 用 于 主 
机 的 功能 ， 但 主要 是 用 来 从 其 他 计算 机 访问 这 个 操作 系统 。 安 装 好 后 ， 你 可 以 通过 OpenSSHL， 
通常 称 为 ssh， 使 用 主机 名 或 IP 地 址 和 前 面 指定 的 用 户 名 访问 这 台 主 机 。 











[!] Software Selection 


ht the moment, only the core of the system is installed. To tune the system to your 


needs, you can choose to install one or more of the following predef ined collections of 
software. 


Choose software to install: 


] Postg&ereSQL database 

] Print server 
Samba f+11e server 
Jomcat Java SerVer 
virtual Machine host 

] Manual package selection 





图 A-38 配置 初始 服务 
选择 的 额外 服务 ， 如 OpenSSH， 将 会 被 安装 ( 见 图 A-39 )。 


SElEct and jinstall software 


Conf iguring man-db 





图 A-39 基础 系统 : 安装 软件 包 
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在 下 一 个 界面 ( 见 图 A-40 ), 供 GRUB 引导 加 载 程序 。 如 有 果 你 正在 为 OpenStack 使 用 这 台 
主机 ， 和 那么 没有 理由 不 这 样 做 。 
[! Install the GRUB boot loader on a hard disk 
It seems that this new installation is the only operating system on this computer. If so, 


it should be safe to install the GRUB boot loader to the master boot record of your first 
hard drive. 


Harning: If the installer failed to detect another operating system that is present on 


your computer, modifying the master boot record will make that operating system 
temporarily unbootable, though GRUB can be manually configured later to boot it. 


Install the GRUB boot loader to the master boot record? 


《60 Back> 





A-40 安装 引导 加 载 程序 


N 


好 了 。 就 这 么 多 。 弟 运 的 话 ， 你 应 该 可 以 如 图 A-41 所 示 ， 重 启 主机 ， 然 后 通过 ssh 远程 访 


[!!] Finish the installation 


Installation complete 
Installation is complete，so it is time to boot into your new system. Make sure to remove 
the installation media (CD-ROM, floppies), so that you boot into the new system rather 


than restarting the installation. 


《GO Back> Lont ImUE 





A-41 完成 安装 





如 有 条 在 安 闻 过 程 中 遇 到 问题 ， 查 看 前 面 列 举 的 社区 资源 。 或 者 ， 你 可 以 从 成 千 上 万 与 安 儿 
Linux 相关 的 博客 、 教 程 、 视 频 和 网 站 中 学 习 很 多 这 方面 的 知识 。 





OpenStack 


实 成 


OpenStack 是 一 个 可 以 让 你 在 自己 的 物理 服务 器 上 创建 私有 云 
或 者 公有 云 平 台 的 开源 框架 。 你 可 以 构建 定制 化 的 基础 设施 、 平 台 和 
软件 服务 ， 而 不 用 担心 专 有 的 云 平台 ( 如 Amazon Web Services 和 “复杂 的 云 计 算 世 界 和 OpenStack 










Microsoft Azure ) 的 费用 和 厂商 锁定 问题 。 拥 有 一 个 OpenStack 私有 软件 生态 系统 里 专业 的 启蒙 导师 。” 
云 ， 你 可 以 增强 安全 性 、 增 加 可 探 性 、 提 高 可 靠 性 ， 并 降低 成 本 。 一 一 摘自 OpenStack 技术 委员 会 成 员 
Jay Pipes 为 本 书写 的 序 


本 书 提供 了 真实 环境 使 用 案例 和 如 何 构建 你 自己 的 云 平台 的 一 步 
步 的 指导 。 本 书 能 为 你 提供 所 需要 的 物理 硬件 集群 和 基础 设施 服务 设计 “提供 足够 的 理论 和 实践 来 恰到好处 
指导 。 你 将 会 学 到 如 何 选 择 和 设置 虚拟 服务 器 和 物理 服务 器 ， 如 何 实 地 理解 云 计 算 技术 。” 
现 软 件 定义 网 络 以 及 在 企业 内 部 设计 、 部 署 和 运营 一 个 OpenStack 云 
的 技术 细节 ， 还 会 探索 如 何 针对 自己 的 环境 对 OpenStack 部 署 做 出 最 
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佳 的 定制 。 最 后 ， 你 还 会 学 到 自己 的 云 是 如 何 提供 面向 用 户 的 软件 和 “学 习 、 安 装 和 管理 这 个 令 人 兴奋 的 
基础 设施 服务 的 。 云 基础 设施 的 基石 。 

Michael Hamrah, Getty [Images 
本 书 主要 内 容 Api 
e 开发 和 部 署 企业 级 私有 云 。 “如 果 你 以 为 AWS 是 唯一 的 玩家 ， 
e 从 IT 的 角度 来 看 私有 云 技术 。 你 需要 好 好 读 读 这 本 书 。 





@ 自助 型 云 计 算 对 企业 的 影响 。 Kosmas Chatzimichalis, Mach 7x 


阅读 本 书 不 需要 拥有 OpenStack 或 其 他 云 开发 经 验 。 


V. KK. Cody Bumgardner 现在 是 一 家 公立 大 学 的 首席 架构 师 
( CTA ), 主要 负责 OpenStack 私有 云 以 及 云 计算 的 其 他 前 沿 技术 的 架构 、 
部 署 和 长 期 战略 规划 。 
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